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信息 技术 领域 一 直 试 图 解决 的 核心 问题 之 一 是 提供 强大 的 计算 能 力 。 在 过 去 很 长 一 段 时 间 里 ， 我 们 可 以 依靠 硬件 性 能 的 提升 来 提高 物理 计算 资源 的 能 力 ， 提 升 处 理 器 的 主 频 或 者 增加 每 个 处 理 器 里 面 的 
处 理 核心 的 数量 。 然 而 这 个 时 代 随 着 摩尔 定律 无 法 胜 过 物理 定律 而 不 得 不 终结 。 


在 云 计算 时 代 ， 信 息 技术 所 面临 的 难题 则 截然 不 同 。 分 布 式 、 虚 拟 化 、 大 数据 ….. 每 一 项 挑战 都 不 是 仅仅 依靠 硬件 或 软件 的 局 部 优化 就 能 得 到 解决 的 ， 更 需要 通过 高 效 的 资源 利用 来 “压榨 ”计算 平台 的 


每 一 点 运算 能 力 。 
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作为 充分 发 掘 计算 平台 能 力 的 Linux 容 器 虚拟 化 技术 ， 在 近 些 年 得 到 广泛 的 关注 和 发 展 。 从 早期 1BM 发 起 的 LXC 项 目 ， 到 今天 如 火 如 茶 的 Docker 项 目 ， 这 些 不 断 涌现 的 创新 项 目 给 计算 模式 本 身 带 来 了 巨 
大 的 变革 。 市 面 上 关于 传统 虚拟 机 相关 技术 的 书籍 有 不 少 ， 但 是 探讨 容器 虚拟 化 技术 的 著作 密 密 无 几 。 尽 管 互联 网 上 已 经 出 现 了 很 多 关于 容器 虚拟 化 、Docker 的 文章 ， 但 这 些 文章 或 过 于 简略 ,或 仅 关 注 某 


个 技术 方面 ， 总 体 上 和 缺少 系统 化 的 从 概念 、 到 实现 、 到 如 何 使 用 的 介绍 。 这 给 广大 信息 产业 从 业 人 员 了 解 最 新 的 技术 潮流 带 来 了 不 小 的 障碍 。 


值得 庆幸 的 是 ， 能 够 第 一 时 间 和 拜读 这 本 《Docker 技 术 入 门 与 实战 》。 作 为 国内 开发 者 撰写 的 首 本 探讨 Docker 容 器 虚拟 化 技术 的 书籍 ， 一 方面 它 深入 浅 出 地 讲解 了 Docker 应 用 的 诸多 话题 ， 包 括 围绕 镜 
像 、 容 器 、 仓 库 等 核心 概念 如 何 来 实现 “Build、Ship、Run” 的 高 效 流程 ， 另 一 方面 ， 难 能 可 贵 的 是 书 中 提供 了 大 量 翔实 的 实战 案例 ， 涵 盖 DevOps 领 域 的 典型 场景 。 无 论 是 Docker 技 术 的 初学 者 还 是 业内 
的 一 线 研发 人 员 或 资深 专家 ， 本 书 都 值得 一 阅 。 


作者 之 一 的 杨 保 华 博士 在 如 入 IBM 之 后 ， 一 直 从 事 云 计算 与 软件 定义 网 络 领域 的 相关 解决 方案 和 核心 技术 的 研发 ， 热 心 关注 OpensStack、Docker 等 开源 社区 ， 热 囊 使 用 开源 技术 ， 并 积极 参与 开源 社区 
的 讨论 、 积 极 提交 代码 。 这 使 得 他 既 能 从 宏观 上 准确 把 握 Docker 技 术 在 整个 云 计算 产业 中 的 定位 ， 又 能 从 微观 上 清晰 理解 技术 人 员 所 渴望 获知 的 核心 之 处 。 


如 果 你 只 是 Docker 的 初学 者 ， 阅 读本 书 ， 或 许 并 不 能 让 你 立刻 成 为 行业 内 的 专业 人 士 ， 但 一 定 能 让 你 马上 体会 Docker 技 术 所 带 来 的 众多 优势 。 如 果 你 已 经 开始 使 用 Docker， 阅 读本 书 也 可 以 帮助 你 解 
答 实践 中 的 一 些 问题 ， 帮 助 你 更 恰当 地 使 用 Docker 技 术 。 本 书 深入 浅 出， 讲解 到 位 ， 是 一 本 值得 常 置 案头 的 好 书 。 


和信 


刘 天 成 
IBM 中 国 研究 院 ， 云 计算 运 维 技术 研究 组 经 理 


2014 年 11 月 


序 二 


轻便 易 用 而 受 人 关注 。 


最 近 的 几 年 ， 云 计算 是 计算 机 与 互联 网 界 的 焦点 ， 它 的 广泛 应 用 离 不 开 庶 拟 化 技术 的 支持 。 作 为 Linux 下 的 容器 虚拟 化 工具 ，Docker 以 


这 本 书 向 读者 清晰 地 介绍 了 Docker 这 个 虚拟 化 工具 ; 详细 比较 了 Docker 和 传统 虚拟 机 在 组 织 架 构 、 实 现 技术 和 性 能 上 的 差异 。 在 此 基础 上 ， 本 书 围绕 着 镜像 、 容 器 、 仓 库 三 个 部 分 ， 从 实践 的 角度 出 
发 ， 讲 解 了 Docker 的 安装 、 配 置 、 使 用 的 方式 。 在 本 书 的 后 面 几 个 章节 ， 也 介绍 了 许多 Docker 的 实现 细节 和 工作 原理 。 总 体 而 言 ， 本 书 从 实际 的 案例 入 手 ， 由 浅 至 深 ， 循 序 渐进 ， 内 容 相当 丰富 。 


对 于 正在 寻找 虚拟 化 工具 的 用 户 来 说 ， 年 轻 而 有 活力 的 Docker 项 目 绝对 是 首选 。 而 如 果 你 正在 使 用 或 打算 使 用 Docker， 或 者 想 学 习 一 些 新 的 技术 以 丰富 自己 ， 那 就 一 定 不 要 错过 这 本 书 。 书 中 有 大 量 
的 实践 案例 、 完 备 的 细节 讲解 ， 将 这 本 书 常备 于 手边 ， 比 起 查阅 复杂 繁琐 的 文档 ， 能 为 工作 或 学 习 节省 更 多 的 时 间 。 
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浙江 大 学 计算 机 学 院 副 教 教授 


2014 年 11 月 
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在 一 台 服 务 器 上 同时 运行 一 百 个 虚拟 机 ， 肯 定 会 被 认为 是 痴人说梦 。 而 在 一 台 服 务 器 上 同时 运行 一 干 个 Docker 容 器 ， 这 已 经 成 为 现实 。 在 计算 机 技术 高 速 发 展 的 今天 ， 的 天 方 夜 谭 正 在 一 个 个 变 成 


现实 。 


多 年 的 研发 和 运 维 (DevOps) 经 历 中 ， 笔 者 时 常会 磁 到 这 样 一 个 困境 : 用 户 的 需求 越 来 越 多 样 ， 系 统 的 规模 越 来 越 庞大 ， 运 行 的 软件 越 来 越 复杂 ， 环 境 配 置 问题 所 造成 的 麻烦 层出不穷 …. 为 了 解决 这 
些 问题 ， 开 源 社区 推出 过 不 少 优秀 的 工具 。 这 些 方 案 虽 然 在 某 些 程度 上 确 能 解决 部 分 “燃眉之急 ”， 但 是 始终 没有 一 种 方案 能 带 来 “一 劳 永 逸 ”的 效果 。 


让 作为 企业 最 核心 资源 的 工程 师 们 花费 大 量 的 时 间 ， 去 解决 各 种 环境 和 配置 引发 的 gug， 这 真 的 正常 吗 ? 


回顾 计算 机 的 发 展 历程 ， 最 初 ， 程 序 设计 人 员 需 要 直接 操作 各 种 枯燥 的 机 器 指令 ， 编 程 效率 之 低 可 想 而 知 。 高 级 语言 的 诞生 ， 将 机 器 指令 的 具体 实现 成 功 抽象 出 来 ， 从 此 揭 开 了 计算 机 编程 效率 突 飞 狂 
进 的 大 时 代 。 那 么 ， 为 什么 不 能 把 类 似 的 理念 (抽象 与 分 层 ) 也 引入 到 现代 的 研发 和 运 维 领域 呢 ? 


Docker 无 疑 在 这 一 方向 上 迈 出 了 具有 革新 意义 的 一 步 。 笔 者 在 刚 接触 Docker 时 ， 就 为 它 所 能 带 来 的 敏捷 工作 流程 而 深 深 吸引 ， 也 为 它 能 充分 挖掘 云 计 算 资源 的 效能 而 兴奋 不 已 。 我 们 深信 ，Docker 的 
出 现 ， 必 将 给 DevOps 技 术 ， 甚 至 整个 信息 技术 产业 的 发 展 带 来 深远 的 影响 。 


笔者 曾 尝试 编写 了 介绍 Docker 技 术 的 中 文 开源 文档 。 短 短 一 个 月 的 时 间 ， 竟 收 到 了 来 自 全 球 各 个 地 区 超过 20 万 次 的 阅读 量 和 全 五 星 的 好 评 。 这 让 我 们 看 到 国内 技术 界 对 于 新 兴 开源 技术 的 敏锐 嗅觉 和 迫 
切 需 求 ， 同 时 也 倍 感 压力 ， 生 怕 其 中 有 不 妥 之 处 ， 影 响 了 大 家 学 习 和 推广 Docker 技 术 的 热情 。 在 开源 文档 撰写 过 程 中 ， 我 们 一 直 在 不 断 思 考 ， 在 生产 实践 中 到 底 怎 么 用 Docker 才 是 合理 的 ”在 “华章 图 
TB" 的 帮助 下 ， 终 于 有 了 现在 读者 手中 的 这 本 书 。 


EF 题 ， 在 最 短 时 间 内 让 读者 理解 和 掌握 最 关键 的 技术 点 ， 并 且 配 合 实际 操作 案例 和 精炼 的 点 评 ， 给 读者 提供 真 
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与 很 多 技术 类 书籍 不 同 ， 本 书 中 避免 一 上 来 就 讲述 元 长 的 故事 ， 而 是 试图 深入 浅 出 、 直 
正 可 以 上 手 的 实战 指南 。 


本 书 在 结构 上 分 为 三 大 部 分 。 第 一 部 分 是 Docker 技 术 的 基础 知识 介绍 ， 这 部 分 将 让 读者 对 Docker 技 术 能 做 什么 有 个 全 局 的 认识 ; 第 二 部 分 将 具体 讲解 各 种 典型 场景 的 应 用 案例 ， 供 读者 体会 Docker 在 
实际 应 用 中 的 高 效 秘诀 ; 第 三 部 分 将 讨论 一 些 偏 技术 环节 的 高 级 话题 ， 试 图 让 读者 理解 Docker 在 设计 上 的 工程 美学 。 最 后 的 附录 归纳 了 应 用 Docker 的 常见 问题 和 一 些 常用 的 参考 资料 。 读 者 可 根据 自身 需 
求 选择 阅读 重点 。 全 书 主要 由 杨 保 华 和 戴 王 剑 主 笔 ， 曹 亚 仑 写作 了 编程 开发 和 实践 之 道 章节 。 


本 书 在 写作 过 程 中 参考 了 官方 网 站 上 的 部 分 文档 ， 并 得 到 了 DockerPool 技 术 社区 网 友 们 的 积极 反馈 和 支持 ， 在 此 一 并 感谢 ! 


成 稿 之 际 ，Docker 已 经 发 布 了 增强 安全 特性 的 1.32 版 本 。 囊 心 祝愿 Docker 及 相关 技术 能 够 快速 成 长 和 成 熟 ， 让 众多 IT 从 业 人 员 的 工作 和 生活 都 更 加 健康 、 更 加 美好 ! 


作者 于 2014 年 11 月 


作者 简介 


杨 保 华 ”清华 大 学 博士 毕业 ， 现 为 |BM 中 国 研究 院 研究 员 。 主 要 从 事 数据 中 心 网 络 解决 方案 的 研发 与 部 署 ， 技 术 方 向 包括 云 计算 、 软 件 定义 网 络 (SDN) 、 网 络 安全 等 ， 是 国内 较 早 从 事 SDN 和 网 络 虚 
拟 化 相关 技术 的 推广 者 ， 同 时 也 是 DockerPool 开 源 社区 的 发 起 人 之 一 。 他 的 个 人 主页 为 yeasy.github.io。 


在 本 书 的 写作 期 间 ， 得 到 了 我 的 父母 亲 和 妻 子 吴 俞 营 女 士 的 关怀 与 支持 ， 得 到 了 公司 领导 和 同事 们 的 信任 与 鼓励 ， 特 别 是 刘 天 成 帮忙 审阅 了 部 分 内 容 。 在 此 表示 最 深厚 的 感谢 


戴 王 剑 ， 资深 架构 师 ， 从 事 计 算 机 网 络 、 服 务 器 架构 设计 多 年 ， 负 责 过 多 个 省 级 项 目的 架构 设计 。 热 衷 开源 事业 ， 是 DockerPool 开 源 社区 的 发 起 人 之 一 。 


写作 期 间 ， 我 的 女儿 戴 子 营 刚 刚 出 生 ， 感 谢 我 的 父母 亲 以 及 我 的 妻子 刘 乃 华 对 我 的 大 力 支 持 ， 没 有 你 们 的 辛勤 付出 ， 我 不 可 能 安心 写 完 这 本 书 ， 我 爱 你 们 ! 在 这 里 一 并 感谢 公司 领导 和 同事 对 我 的 信 
任 ， 感 谢 郭 捷 给 予 的 硬件 支持 ， 在 经 过 半年 左右 的 测试 之 后 ，Docker 在 公司 的 项 目 中 正式 上 线 ， 并 给 我 们 的 开发 、 测 试 、 生 产 带 来 了 实 实在 在 的 效率 。 特 别 感 谢 我 的 导师 : 浙江 师范 大 学 杨 传 斌 教授 ， 没 有 
杨 老 师 ， 我 可 能 在 毕业 前 就 放弃 从 事 IT 行业 了 。 本 书 的 出 版 能 得 到 杨 老师 的 肯定 ， 是 最 让 我 开心 的 事 。 


曹 亚 仑 “85 后 ， 全 栈 Web 开 发 者 ， 擅 长 并 专注 于 SaaS 系 统 架构 设计 与 研发 ， 兴 趣 方向 为 PaaS 和 智能 可 穿戴 设备 。 译 著 有 《Arduino 无 线 传感器 网 络 实践 指南 》， 开 源 
人 主页 为 allengaller.com。 
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书 有 《程序 员 祥 修 指南 》。 个 


我 要 感谢 我 的 父母 和 妻子 丁 小 芬 ， 感 谢 你 们 在 我 写 书 过程 中 所 给 予 的 帮助 和 支持 ， 我 爱 你 们 。 


第 一 部 分 Docker 入 门 


“ 第 1 章 初 识 Docker 
“ 第 2 章 ”Docker 的 核心 概念 和 安装 


“第 3 章 ”镜像 


y 


.第 4 章 容器 


y 


“第 5 章 仓库 

“ 第 6 章 ”数据 管理 

“第 7 章 ”网络 基础 配置 

- $83: ”使 用 Dockerfile 创 建 镜像 
欢迎 来 到 Docker 的 世界 ! 


在 这 一 部 分 里 ， 笔 者 将 介绍 Docker 的 基础 知识 ， 本 部 分 分 为 8 章 。 


第 1 章 介绍 Docker 开 源 项 目 以 及 它 与 现 有 的 虚拟 化 技术 ， 特 别 是 Linux 容 器 技术 的 关系 ; 第 2 章 介 绍 Docker 的 三 大 核心 概念 ， 以 及 如 何在 常见 的 操作 系统 环境 中 安装 Docker; 第 3 章 第 5 章 通 过 具体 的 示 
例 操 作 讲解 Docker 的 常用 命令 ; 第 6 章 剖 析 如 何在 Docker 中 使 用 数据 卷 来 保存 数据 ; 第 7 章 介绍 如 何 使 用 容器 网 络 ， 特 别 是 使 容器 访问 外 网 和 其 他 容器 ; 第 8 章 介绍 如 何 编写 Dockerfile， 以 及 使 
Dockerfile 配 置 文件 来 创建 镜像 的 具体 方法 和 注意 事项 。 


第 1 章 初 识 Docker 


如 果 说 个 人 主机 时 代 大 家 比拼 的 关键 是 CPU 主 频 的 高 低 和 内 存 的 大 小 ， 那 么 在 云 计算 时 代 ， 虚 拟 化 技术 无 疑 是 整 座 信息 技术 大 厦 最 核心 的 一 块 基石 。 


伴随 着 信息 技术 产业 的 发 展 ， 虚 拟 化 技术 已 经 应 用 到 各 种 关键 场景 中 。 从 最 早上 世纪 60 年 代 IBM 推 出 的 大 型 主机 虚拟 化 到 后 来 X86 平台 上 的 虚拟 化 ， 虚 拟 化 技术 自身 也 在 不 断 丰 富 和 创新 。 


虚拟 化 既 可 以 通过 硬件 模拟 来 实现 ， 也 可 以 通过 操作 系统 来 实现 。 而 近 些 年 出 现 的 容器 虚拟 化 方案 ， 更 是 充分 利用 了 操作 系统 本 身 己 有 的 机 制 和 特性 ， 可 以 实现 轻 量 级 的 虚拟 化 ， 甚 至 有 人 把 它 称 为 新 
一 代 的 虚拟 化 技术 。Docker 毫 无 疑问 就 是 其 中 的 佼佼 者 。 


那么 ， 什 么 是 Docker? 它 会 带 来 什么 好 处 ? 它 跟 现 有 虚拟 化 技术 又 有 何 关 系 呢 ? 


本 章 在 介绍 Docker 项 目的 起 源 和 发 展 之 后 ， 会 剖析 Docker 和 Linux 容 器 技术 的 密切 联系 ， 以 及 在 开发 和 运 维 中 使 用 Docker 的 突出 优势 。 最 后 ， 还 将 阐述 Docker 在 整个 虚拟 化 领域 中 的 定位 。 


1.1 什么 是 Docker 
Docker 开 源 项 目 


Docker 是 基于 Go 语言 实现 的 云 


源 项 


目 ， 诞 生 于 2013 年 初 ， 最 初 发 起 者 是 dotCloud 公 司 。Docker 


dotCloud 公 司 后 来 也 改名 为 Docker Inc， 专 注 于 Docker 相 关 技 术 和 产品 的 开发 。 


Docker 项 
最 受 欢 迎 的 云 计算 开源 项 目 。 


现在 主流 的 Linux 操 作 系统 都 已 经 支持 Docker。 例 如 ，Redhat RHEL 6.5/CentOS 6.5 往 上 的 操作 系统 、Ubuntu 14.04 操 作 系统 ， 都 已 经 默认 带 有 Docker 软 件 包 。Google 公 司 宣称 在 其 


PaaS (Platform as a Service) 平台 及 服务 产品 中 广泛 应 用 了 Docker。 微 软 公 司 宣布 和 Docker 公 司 合作 ， 以 加 强 其 云 平台 Azure 对 Docker 的 支持 。 公 有 云 提供 商 亚马逊 近期 也 推出 了 AWS 


EC2Container， 提 供 对 Docke 


Docker 的 主要 
理 ， 达 到 应 


组 件 级 别 的 “一 次 封装 ， 到 处 运行 ” 


[的 支持 。 


标 是 “Build，Ship and Run Any App, Anywhere" ， 即 通过 对 应 


。 这 里 的 应 


组 件 ， 既 可 以 是 一 个 Web 应 上 


Docker 基 于 Linux 的 多 项 


Linux 容 器 技术 


源 技术 提供 了 高 效 、 敏 捷 和 轻 量 级 的 容器 方案 ， 并 且 支 持 在 多 种 主流 云 平台 (Paas) 和 本 地 系统 上 部 署 。 可 以 说 Docker 为 应 


开源 后 受到 广泛 的 关注 和 讨论 ， 


组 件 的 封装 (Packaging) 、 分 发 (Distribution) 、 部 署 (Dep 
， 也 可 以 是 一 套数 据 库 服务 ， 甚 至 是 一 个 操作 系统 或 编译 器 。 


围绕 Docker 的 生态 体系 。 


前 已 有 多 个 相关 项 目 ， 


前 已 加 入 了 Linux 基 金 会 ， 遵 循 Apache 2.0 协 议 ， 全 部 开源 代码 均 在 https://github.com/docker/docker 上 进行 维护 。 在 最 近 一 次 Linux 基 金 会 的 调查 中 ，Docker 是 仅 次 于 OpenStack 的 


\ 一 /一 


、 运 行 (Runtime) 等 生命 周期 的 管 


oyment) 


的 开发 和 部 署 提供 了 “一 站 式 ”的 解决 方案 。 


Docker 引 擎 的 基础 是 Linux 容 器 (Linux Containers, LXC) 技术 。IBM DeveloperWorks 上 给 出 了 关于 容器 技术 的 准确 描述 : 


容器 有 效 地 将 由 单个 操作 系统 管理 的 资源 划分 到 孤立 的 组 中 ， 以 便 更 好 地 在 孤立 的 组 之 间 平 衡 有 冲突 的 资源 使 用 需求 。 与 虚拟 化 相 比 ， 这 样 既 不 需要 指令 级 模拟 ， 也 不 需要 即时 编译 。 容 器 可 以 在 核心 


CPU 本 地 运行 指令 ， 而 不 需要 任何 专门 的 解释 机 制 。 此 尹 


Linux 容 器 其 实 不 是 一 个 全 新 的 概念 。 
的 Solaris Containers (20048 


括 Sun Solaris 操 作 系统 上 | 
B) 和 OpenVZ (http://open 


vz.org) (2005 年 ) , 


上 特定 的 内 核 补丁 方 可 使 用 。 


后 来 LXC 项 目 借鉴 了 前 人 成 熟 的 容器 设计 理念 ， 
的 事实 标准 。 
从 Linux 容 器 到 Docker 


在 LXC 的 基础 上 ，Docker 进 一 步 优 化 了 容器 的 使 
容器 就 像 操作 一 个 轻 量 级 的 虚拟 机 那样 简单 。 


读者 可 以 简单 地 将 Docker 容 器 理解 为 一 种 沙 盒 (Sandbox) 。 每 个 容器 内 运行 一 个 应 上 
很 多 时 候 ， 甚 至 直接 把 容器 当 作 应 


也 十 分 有 限 ， 远 远 低 于 虚拟 机 。 


有 理由 相信 ， 随 着 Docker 技 术 的 进一步 成 熟 ， 它 将 成 为 更 受 欢 迎 的 容器 虚拟 化 技术 实现 ， 得 到 更 广泛 的 应 用 。 


虽然 这 些 技术 经 过 多 年 的 演化 已 经 十 分 成 熟 ， 但 是 由 于 种 种 原 


， 也 避免 了 准 虚 拟 化 (paravirtualization) 和 系统 调用 替 : 


最 早 的 容器 技术 可 以 追溯 到 1982 年 Unix 系 列 操 作 系 统 上 的 chroot 工 具 (Ei 
发 布 ) ，FreeBSD 操 作 系统 上 的 FreeBSD jail (20005 


因 ， 这 些 容器 技术 并 没有 被 集成 到 


黎 中 的 复杂 性 。 


并 基于 一 系列 新 的 内 核 特性 实现 了 更 


1.2 ”为 什么 要 使 用 Docker 


Docker 容 器 虚拟 化 的 好 处 


Docker 项 
， 也 就 是 说 应 


举 个 简单 的 应 
所 依赖 的 环境 ; 之 


的 发 起 人 和 Docker Inc. 
必须 能 够 脱离 底 


场景 的 例子 。 假 设 
后 分 别 对 它 人 


层 机 器 


户 试 图 基于 最 常见 的 


本 身 也 没有 任何 问题 。 


扩 


到 今天 ， 主 流 的 Unix、Linux 操 作 系 统 仍然 支持 和 带 有 该 工 : 
F 左 右 出 现 ) ， 以 及 GNU/Linux 上 的 Linux-VServer (http://linux-vserver.org/) 


FE 流 的 Linux 内 核 中 ， 使 F 


) 。 早 期 的 容器 实现 技术 包 
(2001 年 10 


户 要 使 


起 来 并 不 方便 。 例 如 ， 如 果 f 


OpenVZ 技 术 ， 就 需要 先 给 操作 系统 打 


展 性 的 虚拟 化 容器 方案 。 更 加 关键 的 是 ，LXC 被 集成 到 了 主流 Linux 内 核 中 ， 进 而 成 为 Linux 系 统 轻 量 级 容器 技术 


户 操作 Docker 


户 无 需 关注 底 


体验 。Docker 提 供 了 各 种 容器 管理 工具 (如 分 发 、 版 本 、 移 植 等 ) 让 


， 不 同 的 容器 相互 


CTO Solomon Hykes 认 为 ，Docker 在 正确 的 地 点 、 正 确 的 时 间 顺 应 了 正确 的 趋势 一 一 即 高 效 地 构建 应 


， 而 且 同 时 必须 是 “任何 时 间 任 何 地 点 ”可 获取 的 。 


隔离 ， 容 器 之 


因此 ， 开 发 者 们 需要 一 种 创建 分 布 式 应 


屋 的 操作 ， 可 以 简单 明了 地 管理 和 使 


间 也 可 以 建立 通信 机 制 。 容 器 的 创建 和 停止 都 十 分 快速 ， 容 器 自身 对 资源 的 需求 


T 


。 现 在 开发 者 需要 能 方便 地 创建 运行 在 云 平台 上 的 应 
程序 的 方式 ， 这 也 是 Docker 所 能 够 提供 的 。 


LAMP (Linux+Apache+MySQL+PHP) 组 合 来 运 维 一 个 网 站 。 按 照 传 统 的 做 法 ， 首 先 ， 需 要 安装 Apache、MySQL 和 PHP 以 及 它们 各 自 运 行 


] 进 行 配置 (包括 创建 合适 的 


以 想象 ， 如 果 再 加 上 更 多 的 应 


情 会 变 得 更 加 难以 处 理 。 


更 为 可 怕 的 是 ， 一 旦 需要 


而 Docker 提 供 了 一 种 更 为 


E 


民 务 器 迁移 (例如 从 阿里 云 迁移 到 


SRAZ) ， 往 往 需 要 


总 明 的 方式 ， 通 过 容器 来 打包 应 


Docker 在 开发 和 运 维 中 的 优势 


对 开发 和 运 维 (DevOps) 人 员 来 阅 ， 可 能 最 梦 麻 以 求 的 就 是 一 次 性 地 创建 或 配 


体 说 来 ，Docker 在 开发 和 运 维 过 程 中 ， 


户 、 配 置 参 数 等 ) ; 经 过 大 量 的 操作 后 ， 还 需要 进行 功能 测试 ， 看 是 否 工作 正常 ， 如 果 不 正常 ， 则 意味 着 更 多 的 时 间 代价 和 不 可 控 的 风险 。 可 


新 部 署 和 调试 。 这 些 琐碎 而 无 趣 的 “体力 活 ”， 极 大 地 降低 了 工作 效率 。 


， 意 味 着 迁移 只 需要 在 新 的 服务 器 上 启动 需要 的 容器 就 可 以 了 。 这 无 疑 将 节约 大 量 的 宝贵 时 间 ， 并 降低 部 署 过 程 出 现 问题 的 风险 。 


， 可 以 在 任意 环境 、 任 意 时 间 让 应 


H 


有 如 下 几 个 方 


的 优势 。 


正常 地 运行 。 而 Docker 恰 恰 是 可 以 实现 这 一 终极 目标 的 瑞士 军刀 。 


“ 更 快速 的 交付 和 部 署 。 使 用 Docker， 开 发 人 员 可 以 使 用 镜像 来 快速 构建 一 套 标 准 的 开发 环境 ; 开发 完成 之 后 ， 测 试 和 运 维 人 员 可 以 直接 使 用 相同 环境 来 部 署 代码 。Docker 可 以 快速 创建 和 删除 容器 ， 
快速 选 代 ， 大 量 节约 开发 、 测 试 、 部 署 的 时 间 。 并 且 ， 各 个 步骤 都 有 明确 的 配置 和 操作 ， 整 个 过 程 全 程 可 见 ， 使 团队 更 容易 理解 应 用 的 创建 和 工作 过 程 。 


“ 更 高 效 的 资源 利用 。Docker 容 器 的 运行 不 需要 额外 的 虚拟 化 管理 程序 (Virtual Machine Manager，VMM， 以 及 Hypervisor) 支持 ， 它 是 内 核 级 的 虚拟 化 ， 可 以 实现 更 高 的 性 能 ， 同 时 对 资源 的 额外 需求 很 


低 。 


“ 更 轻松 的 迁移 和 扩展 。Docker 容 器 几乎 可 以 在 任意 的 平台 上 运行 ， 包 括 物理 机 、 虚 拟 机 、 公 有 云 、 私 有 云 、 个 人 电脑 、 服 务 器 等 。 这 种 兼容 性 让 用 户 可 以 在 不 同 平台 之 间 轻 松 地 迁移 应 用 。 


“ 更 简单 的 更 新 管理 。 使 用 Dockerfile， 只 需要 小 小 的 配置 修改 ， 就 可 以 替代 以 往 大 量 的 更 新 工作 。 并 且 所 有 修改 都 以 增 量 的 方式 进行 分 发 和 更 新 ， 从 而 实现 自动 化 并 且 高 效 的 容器 管理 。 


Docker 与 虚拟 机 比较 


作为 一 种 轻 量 级 的 虚拟 化 方式 ，Docker 在 运行 应 用 上 跟 传 统 的 虚拟 机 方式 相 比 具有 显著 优势 : 


` Docker 容 器 很 快 ， 启 动 和 停止 可 以 在 秒 级 实现 ， 这 相 比 传统 的 虚拟 机 方式 要 快 得 多 。 


“ Docker 容 器 对 系统 资源 需求 很 少 ， 一 台 主 机 上 可 以 同时 运行 数 千 个 Docker 容 器 。 
` Docker 通 过 类 似 Git 的 操作 来 方便 用 户 获 取 、 分 发 和 更 新 应 用 镜像 ， 指 令 简明 ， 学 习 成 本 较 低 。 


: Docker 通 过 Dockerfile 配 置 文件 来 支持 灵活 的 自动 化 创建 和 部 署 机 制 ， 提 高 工作 效率 。 


Docker 容 器 除了 运行 其 中 的 应 用 之 外 ， 基 本 不 消耗 额外 的 系统 资源 ， 保 证 应 用 性 能 的 同时 ， 尽 量 减 小 系统 开销 。 传 统 虚 拟 机 方式 运行 N 个 不 同 的 应 用 就 要 启动 N 个 虚拟 机 (每 个 虚拟 机 需要 单独 分 配 独 
占 的 内 存 、 磁 盘 等 资源 ) ， 而 Docker 只 需要 启动 N 个 隔离 的 容器 ， 并 将 应 用 放 到 容器 内 即 可 。 


当然 ， 在 隔离 性 方面 ， 传 统 的 虚拟 机 方式 多 了 一 层 额 外 的 隔离 。 但 这 并 不 意味 着 Docker 就 不 安全 。Docker 利 用 Linux 系 统 上 的 多 种 防护 机 制 实现 了 严格 可 靠 的 隔离 。 从 1.3 版 本 开始 ，Docker 引 入 了 安 
全 选项 和 镜像 签名 机 制 ， 极 大 地 提高 了 使 用 Docker 的 安全 性 。 


下 表 总 结 了 使 用 Docker 容 器 技术 与 传统 虚拟 机 技术 的 特性 比较 。 


m m 
EET: n 
便 盘 使 用 一 般 为 MB 一 般 为 GB 
性 能 接近 原生 sT 
系统 支持 最 ROLES ET AH 一 股 几 十 个 
Hes 完全 隔离 


13 ”虚拟 化 与 Docker 


虚拟 化 技术 是 一 个 通用 的 概念 ， 在 不 同 领域 有 不 同 的 理解 。 在 计算 领域 ， 一 般 指 的 是 计算 虚拟 化 (Computing Virtualization) ， 或 通常 说 的 服务 器 虚拟 化 。 维 基 百 科 上 的 定义 如 下 : 


在 计算 机 技术 中 ， 虚 拟 化 〈Virtualization) 是 一 种 资源 管理 技术 ， 是 将 计算 机 的 各 种 实体 资源 ， 如 服务 器 、 网 络 、 内 存 及 存储 等 ， 予 以 抽象 、 转 换 后 呈现 出 来 ， 打 破 实体 结构 间 的 不 可 切割 的 障碍 ， 使 用 
户 可 以 用 比 原本 的 组 态 更 好 的 方式 来 应 用 这 些 资源 。 


可 见 ， 虚 拟 化 的 核心 是 对 资源 进行 抽象 ， 目 标 往往 是 为 了 在 同一 个 主机 上 运行 多 个 系统 或 应 用 ， 从 而 提高 系统 资源 的 利用 率 ， 同 时 带 来 降低 成 本 、 方 便 管理 和 容错 容 灾 等 好 处 。 


从 大 类 上 分 ， 虚 拟 化 技术 可 分 为 基于 硬件 的 虚拟 化 和 基于 软件 的 虚拟 化 。 其 中 ， 真 正 意义 上 的 基于 硬件 的 虚拟 化 技术 不 多 见 ， 少 数 如 网 卡 中 的 单 根 多 10 虚 拟 化 (Single Root MO Virtualization and 
Sharing Specification, SR-IOV) 等 技术 ， 也 超出 了 本 书 的 讨论 范畴 。 


基于 软件 的 虚拟 化 从 对 象 所 在 的 层次 ， 又 可 以 分 为 应 用 虚拟 化 和 平台 虚拟 化 〈 通 常 说 的 虚拟 机 技术 即 属于 这 个 范畴 ) 。 其 中 ， 前 者 一 般 指 的 是 一 些 模拟 设备 或 Wine 这 样 的 软件 。 后 者 又 可 以 细 分 为 如 下 


几 个 子 类 : 


“ 完全 虚拟 化 。 虚 拟 机 模拟 完整 的 底层 硬件 环境 和 特权 指令 的 执行 过 程 ， 客 户 操 作 系 统 无 需 进 行 修改 。 例 如 VMware Wotkstation、VirtualBox、QEMU 等 。 


“ 硬件 辅助 虚拟 化 。 利 用 硬件 (主要 是 CPU) 辅助 支持 (目前 x86 体 系 结构 上 可 用 的 硬件 辅助 虚拟 化 技术 包括 Intel-VT 和 AMD-V) 处 理 敏感 指令 来 实现 完全 虚拟 化 的 功能 ， 客 户 操作 系统 无 需 修改 ， 例 如 


VMware Workstation, Xen, KVM. 
“ 部 分 虚拟 化 。 只 针对 部 分 硬件 资源 进行 虚拟 化 ， 客 户 操 作 系 统 需 要 进行 修改 。 现 在 有 些 虚 拟 化 技术 的 早期 版 本 仅 支持 部 分 虚拟 化 。 
“ 超 虚 拟 化 (Paravirtualization) 。 部 分 硬件 接口 以 软件 的 形式 提供 给 客户 机 操作 系统 ， 客 户 操作 系统 需要 进行 修改 ， 例 如 早期 的 Xen。 


“ 操作 系统 级 虚拟 化 。 内 核 通过 创建 多 个 虚拟 的 操作 系统 实例 (内核 和 库 ) 来 隔离 不 同 的 进程 。 容 器 相关 技术 即 在 这 个 范 畸 。 


可 见 ，Docker 以 及 其 他 容器 技术 都 属于 操作 系统 的 虚拟 化 这 个 范畴 。 


Docker 虚 拟 化 方式 之 所 以 拥有 众多 优势 ， 这 跟 操作 系统 的 虚拟 化 自身 的 特点 是 分 不 开 的 。 下 面 图 1-1 比 较 了 Docker 和 常见 的 虚拟 机 方式 的 不 同 之 处 。 


a) 传统 的 虚拟 化 方式 b) Docker 虚拟 化 方式 


图 1-1 Docker 和 传统 的 虚拟 机 方式 的 不 同 之 处 


传统 方式 是 在 硬件 层面 实现 虚拟 化 ， 需 要 有 额外 的 虚拟 机 管理 应 用 和 虚拟 机 操作 系统 层 。 


Docker 容 器 是 在 操作 系统 层面 上 实现 虚拟 化 ， 直 接 复 用 本 地 主机 的 操作 系统 ， 因 此 更 加 轻 量 级 。 


14 本 章 小 结 
通过 本 章 内 容 的 叙述 ， 相 信 读者 已 经 对 于 Docker 技 术 不 再 陌生 ， 并 为 它 带 来 的 众多 优势 所 深 深 吸引 。 通 过 为 Linux 容 器 技术 提供 更 简便 的 使 用 和 管理 方案 、 更 高 效 的 版 本 控制 机 制 ，Dockeri 上 容器 技术 
一 下 子 变 得 前 所 未 有 的 方便 易 用 。 


笔者 相信 ， 随 着 云 计算 技术 的 进一步 发 展 ， 以 Docker 技 术 为 代表 的 容器 技术 必 将 在 整个 虚拟 化 领域 占有 越 来 越 重 要 的 地 位 。 


第 2 章 ”Docker 的 核心 概念 和 安装 


本 章 首先 介绍 Docker 的 三 大 核心 概念 : 

“ 镜像 (Image) 

- 容器 (Container) 

“ 仓库 (Repository) 

读者 理解 了 这 三 个 核心 概念 ， 就 能 顺利 地 理解 Docker 的 整个 生命 周期 。 社 区 讨论 很 激烈 的 一 个 话题 ， 就 是 Docker 和 Linux 容 器 技术 到 底 有 何 区 别 ? 相信 读者 在 阅读 完 本 章 后 ， 会 得 到 更 清晰 的 答案 。 


随后 ， 笔 者 将 介绍 如 何在 常见 的 操作 系统 上 安装 Docker， 包 括 Ubuntu、CentOS、Windows 和 MacOS 等 。 


Docker 镜 像 
Docker 镜 像 (Image) 类 似 于 虚拟 机 镜像 ， 可 以 将 它 理 解 为 一 个 面向 Docker 引 擎 的 只 读 模板 ,包含 了 文件 系统 。 
例如 : 一 个 镜像 可 以 只 包含 一 个 完整 的 Ubuntu 操 作 系统 环境 ， 可 以 把 它 称 为 一 个 Ubuntu 镜 像 。 镜 像 也 可 以 安装 了 Apache 应 用 程序 (或 用 户 需要 的 其 他 软件 ) ， 可 以 把 它 称 为 一 个 Apache 镜 像 。 
镜像 是 创建 Docker 容 器 的 基础 。 通 过 版 本 管理 和 增 量 的 文件 系统 ，Docker 提 供 了 一 套 十 分 简单 的 机 制 来 创建 和 更 新 现 有 的 镜像 ， 用 户 甚至 可 以 从 网 上 下 载 一 个 已 经 做 好 的 应 用 镜像 ， 并 通过 简单 的 命 
令 就 可 以 直接 使 用 。 
Docker 容 器 


Docker 容 器 (Container) 类 似 于 一 个 轻 量 级 的 沙 箱 ，Docker 利 用 容器 来 运行 和 隔离 应 用 。 
容器 是 从 镜像 创建 的 应 用 运行 实例 ， 可 以 将 其 启动 、 开 始 、 停 止 、 删 除 ， 而 这 些 容器 都 是 相互 隔离 、 互 不 可 见 的 。 
读者 可 以 把 容器 看 做 一 个 简易 版 的 Linux 系 统 环境 (这 包括 root 用 户 权限 、 进 程 空间 、 用 户 空 间 和 网 络 空间 等 ) ， 以 及 运行 在 其 中 的 应 用 程序 打包 而 成 的 应 用 盒子 。 


镜像 自身 是 只 读 的 。 容 器 从 镜像 启动 的 时 候 ，Docker 会 在 镜像 的 最 上 层 创 建 一 个 可 写 层 ， 镜 像 本 身 将 保持 不 变 。 


Docker 仓 库 


Docker 仓 库 (Repository) 类 似 于 代码 仓库 ， 是 Docker 集 中 存放 镜像 文件 的 场所 。 


有 时 候 会 看 到 有 资料 将 Docker 仓 库 和 注册 有 


多 个 镜像 文件 ， 通 过 不 同 的 标签 (tag) 来 进行 


RES (Registry) 混为一谈 ， 并 不 严格 区 分 。 实 际 上 ， 注 册 服 务 器 是 存放 仓库 的 地 方 ， 其 上 往往 存放 着 多 个 仓库 。 每 个 仓库 集中 存放 某 一 类 镜像 ， 往 往 包 括 


区 分 。 例 如 存放 Ubuntu 操作 系统 镜像 的 仓库 ， 称 为 Ubuntu 仓库 ， 其 中 可 能 包括 14.04、12.04 等 不 同 版 本 的 镜像 。 仓 库 注册 服务 器 的 示例 如 图 2-1 所 示 。 


Ubuntu 仓库 CentOS 仓库 


注册 服务 需 


图 2-1 仓库 和 注册 服务 器 


根据 所 存储 的 镜像 公开 分 享 与 否 ，Docker 仓 库 可 以 分 为 公开 仓库 (Public) 和 私有 仓库 (Private) 两 种 形式 。 


目前 ,最 大 的 公开 仓库 是 Docker Hub， 存 放 了 数量 庞大 的 镜像 供用 户 下 载 。 国 内 的 公开 仓库 包括 Docker Pool 等 ， 可 以 提供 稳定 的 国内 访问 。 


当然 ， 用 户 如 果 不 希望 公开 分 享 自己 的 镜像 文件 ，Docker 也 支持 用 户 在 本 地 网 络 内 创建 一 个 只 能 自己 访问 的 私有 仓库 。 


当 用 户 创建 了 自己 的 镜像 之 后 就 可 以 使 用 push 命 令 将 它 上 传 到 指定 的 公有 或 者 私有 仓库 。 这 样 用 户 下 次 在 另外 一 台 机 器 上 使 用 该 镜像 时 ， 只 需 将 其 从 仓库 上 pull 下 来 就 可 以 了 。 


Qs 可 以 看 出 ，Docker 利 用 仓库 管理 镜像 的 设计 理念 与 Git 非 常 相似 。 


2.2 ”安装 Docker 


Docker 支 持 在 主流 的 操作 系统 平台 上 使 用 


， 包 括 Ubuntu、CentOS、Windows 以 及 MacOS 系 统 等 。 当 然 ， 在 Linux 系 列 平台 上 是 原生 支持 ,使 用 体验 也 最 好 。 


Ubuntu 


1.Ubuntu 14.04 及 以 上 版 本 


Ubuntu 14.04 版 本 官方 软件 源 中 已 经 自 带 了 Docker 包 ， 可 以 直接 安装 : 


sudo apt-get update 
sudo apt-get install -y docker.io 


An Ann X 


sudo sed -i '$acomplete -F docker 


sudo ln -sf /usr/bin/docker.io /usr/local/bin/docker 


docker' /etc/bash completion.d/docker.io 


以 上 流程 使 用 Ubuntu 14.04 系 统 默认 自 带 docker.io 安 装 包 安装 Docker， 这 样 安装 的 Docker 版 本 相对 较 旧 。 


读者 也 可 通过 下 面 的 方法 从 Docker 官 方 源 安装 最 新 版 本 。 首 先 需要 安装 apt-transport-https， 并 添加 Docker 官 方 源 : 


sudo apt-get install apt-transport 
sudo apt-key adv --keyserver hkp:/ 
sudo bash -c "echo deb https://get 
sudo apt-get update 


4n Xn An An 


-https 
/keyserver.ubuntu.com:80 --recv-keys 36A1D7869245C8950F966E92D8576A8BA88D21E9 
.docker.io/ubuntu docker main > /etc/apt/sources.list.d/docker.list" 


之 后 ， 可 以 通过 下 面 的 命令 来 安装 最 新 版 本 的 Docker: 


$ sudo apt-get install -y lxc-docker 


ai 


在 安装 了 Docker 官 方 软件 源 后 ， 若 需要 更 新 Docker 软 件 版 本 ， 只 需要 执行 以 下 命令 即 可 升级 : 


$ sudo apt-get update -y lxc-docker 


Ors 后 文中 使 用 $ 作 为 终端 引导 符 时 ， 表 示 非 toot 权 限 用 户 ; HX OE rooUT] P o 


2.ubuntu 14.04 以 下 的 版 本 


如 果 使 用 的 是 较 低 版 本 的 Ubuntu 系统 ， 则 需要 先进 行内 核 更 新 并 重启 系统 后 再 进行 安装 : 


$ sudo apt-get update 
$ sudo apt-get install -y linux-image-generic-lts-raring linux-headers-generic-lts-raring 


$ sudo reboot 


重启 后 ， 重 复 在 Ubuntu 14.04 系 统 的 安装 步骤 即 可 。 


CentOS 


Docker 支 持 CentOS 6 及 以 后 的 版 本 。 


对 于 CentOS 6 系统 可 使 用 EPEL 库 安装 Docker,， 命令 如 下 : 


$ sudo yum install -y http://mirrors.yun-idc.com/epel/6/i386/epel-release-6-8.noarch.rpm 
$ sudo yum install -y docker-io 


对 于 CentOS 7 系统 ， 由 于 CentOS-Extras 源 中 已 内 置 Docker， 读 者 可 以 直接 使 用 yum 命 令 进行 安装 : 


$ sudo yum install -y docker 


目前 在 Centos 系 统 中 更 新 Docker 软 件 有 两 种 方法 ， 一 是 自行 通过 源码 编译 安装 ， 二 是 下 载 二 进 制 文件 进行 更 新 。 


Windows 


的 CPU 支持 硬件 虚拟 化 。 由 于 近 几 年 发 布 的 Intel 和 AMD CPU 基本 上 都 已 支持 了 硬件 虚拟 化 特性 ， 因 此 在 


目前 Docker 官 方 已 经 宣布 Docker 通 过 虚拟 机 方式 支持 Windows 7.1 和 8， 前 提 是 主机 
Windows 中 使 用 Docker 通 常 不 会 有 硬件 支持 的 问题 。 


一 个 虚拟 机 来 提供 Linux 支 持 。 这 里 推荐 使 用 Boot2Docker 工 具 ， 它 会 首先 安装 一 个 经 过 加 工 与 配置 的 VirtualBox 


由 于 Docker 引 警 使 用 了 Linux 内 核 特 性 ， 所 以 在 Windows 上 运行 的 话 ， 需 要 额外 使 
轻 量 级 虚拟 机 ， 然 后 在 其 中 运行 Docker。 主 要 步骤 如 下 : 


1) 从 https://docs.docker.com/installation/windows/ 下 载 最 新 官方 Docker for Windows Installer, 


2) 运行 Installer。 这 个 过 程 将 安装 VirtualBox，MSYS-git，boot2docker Linux 1SO 镜 像 ， 以 及 Boot2Docker 管 理工 具 。 如 图 2-2 所 示 。 


Welcome to the Boot2Docker for 
Windows Setup Wizard 


This will install Boot2Docker for Windows version 1.3.2 on your 
computer. 

It is recommended that you close all other applications before 
continuing. 

Click Next to continue, or Cancel to exit Setup. 


图 2-2 Windows F EK Docker 


3) 打开 桌面 的 Boot2Docker Start 程 序 ， 或 者 用 以 下 命令 : Program Files» Boot2Docker for Windows。 此 初始 化 脚本 在 第 一 次 运行 时 需要 输入 一 个 SSH Key Passphrase (用 于 SSH 密 钥 生 成 的 口 


令 ) 。 读 者 可 以 自行 设 定 ， 也 可 以 直接 按 回 车 键 ， 跳 过 此 设 定 ， 如 图 2-3 所 示 。 


initializing... 
irtual machine boot2docker-um already exists 


starting... 
laiting for UM and Docker daemon to start... 


图 2-3 ”Boot2Docket 启 动 后 界面 


此 时 Boot2Docker Start 程 序 将 连接 至 虚拟 机 中 的 Shell 会 话 ，Docker 已 经 运行 起 来 了 ! 


Mac OS 
目前 Docker 已 经 支持 Mac OS X 10.6Snow Leopard 及 以 上 版 本 的 Mac OS, 
在 Mac OS 上 使 用 Docker， 同 样 需要 Boot2Docker 工 具 的 支持 。 主 要 步骤 如 下 : 


1) 下 载 最 新 官方 Docker for OS X Installer。 读 者 可 以 从 https://docs.docker.com/installation/mac/ 下 载 。 


2) 双击 运行 安装 包 。 这 个 过 程 将 安装 一 个 VirtualBox 虚 拟 机 、Docker 本 身 以 及 Boot2Docker 管 理工 具 ， 如 图 2-4 所 示 。 


3) 安装 成 功 后 ， 找 到 Boot2Docker (Mac 系 统 的 Application 或 “应 用 ”文件 夹 中 ) 并 运行 它 。 现 在 进行 Boot2Docker 的 初始 化 : 


$ boot2docker init 
$ boot2docker start 
$ $(boot2docker shellinit) 


读者 将 看 到 虚拟 机 在 命令 行 窗口 中 启动 运行 ， 并 显示 Docker 的 启动 信息 ， 则 说 明 Docker 安 装 成 功 。 当 虚拟 机 初始 化 完毕 后 ， 可 以 使 用 boot2docker stop 和 boot2docker start 来 控制 它 。 


注意 : 如 果 在 命令 行 中 看 到 如 下 提示 信息 : 


To connect the Docker client to the Docker daemon, please set: export DOCKER HOST=tcp://192.168.59.103:2375 


可 以 执行 提示 信息 中 的 语句 : export DOCKER HOST-tcp://192.168.59.103: 2375。 此 语句 的 作用 是 在 系统 环境 变量 中 设置 Docker 的 主机 地 址 。 


Welcome to the Boot2Docker for Mac OS X Installer 


a debe Boot2Docker for Mac OS X 


9 Destination Select This installer will guide you through the steps to install Boot2Docker for 
0 Installation Type 


Mac OS X v1.2.0. 


0 Installation The docker and boot 2docker binaries will be installed to /usr / 
local/bin, and can then be run from your Terminal. 

© Summary For further information, please see the Docker OS X installation 
documentation. 


To continue, click Continue. 


图 2-4 Mac OS 上 安装 Boot2Docker 


2.3 ”本 书 环 境 介 绍 


本 书 的 实践 环境 是 一 台 装 有 Linux Mint 17 的 笔记 本 电脑 ， 并 使 用 虚拟 机 软件 VirturBox 虚 拟 了 一 套 Ubuntu 14.04 系 统 ， 两 套 系统 上 都 安装 了 Docker 的 1.3 版 本 ， 虚 拟 机 通过 VirturBox 网 络 的 NAT 方 式 连 
接 到 外 部 ， 如 图 2-5 所 示 。 


docker 


XE iU 
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docker 
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私 有 仓 J 4: 
Ubuntu 14.04 虚拟 机 
10.0.2.15 


VirturBox 


笔者 的 计算 机 -Linux Mint 17 
10.0.2.2 


图 2-5 本 书 环境 


Hh, Ubuntu 14.04 虚 拟 机 将 是 主要 的 操作 环境 (自动 获取 的 IP 地 址 为 10.0.2.15/24) ， 而 笔记 本 上 装 的 Linux Mint 环 境 (内 网 地 址 为 10.0.2.2/24， 外 网 地 址 为 192.168.1.0/24 段 地 址 ) 将 作为 本 地 私 
有 仓库 的 服务 器 ， 演 示 跟 仓库 相关 的 操作 。 


读者 可 根据 自己 本 地 环境 ， 选 择 搭建 类 似 的 环境 。 


24 mW 


本 章 介绍 了 Docker 的 三 大 核心 概念 : 镜像 、 容 器 和 仓库 。 


通过 这 三 大 核心 概念 所 构建 的 高 效 工作 流程 ， 毫 无 疑问 ， 正 是 Docker 得 以 从 众多 容器 虚拟 化 方案 中 脱颖而出 的 重要 原因 。 


熟悉 Git 和 GitHub 的 读者 ， 会 理解 这 一 工作 流程 为 文件 分 发 和 合作 所 带 来 的 众多 优势 。 在 后 续 章节 ， 笔 者 将 进一步 地 介绍 围绕 这 三 大 核心 概念 的 Docker 常 见 操作 命令 。 


镜像 是 Docker 的 三 大 核心 概念 之 一 。 


Docker 运 行 容器 前 需要 本 地 存在 对 应 的 镜像 ， 如 果 镜 像 不 存在 本 地 ，Docker 会 尝试 先 从 默认 镜像 仓库 下 载 (默认 使 用 Docker Hub 公 共 注 册 服务 器 中 的 仓库 ) ， 用 户 也 可 以 通过 配置 ， 使 用 自 定义 的 镜 
像 仓库 。 


本 章 将 介绍 围绕 镜像 这 一 核心 概念 的 具体 操作 ， 包 括 如 何 使 用 pull 命 令 从 Docker Hub 仓 库 中 下 载 镜像 到 本 地 ; 如 何 查看 本 地 已 有 的 镜像 信息 ; 如 何在 远 端 仓库 使 用 search 命 令 进 行 搜索 和 过 滤 ; 如 何 删 
除 镜像 标签 和 镜像 文件 ;如 何 创建 用 户 定制 的 镜像 并 且 保存 为 外 部 文件 。 最 后 ， 还 将 介绍 如 何 向 Docker Hub 仓 库 中 推送 自己 的 镜像 。 


31 ”获取 镜像 


镜像 是 Docker 运 行 容器 的 前 提 。 


读者 可 以 使 用 docker pull 命 令 从 网 络 上 下 载 镜像 。 该 命令 的 格式 为 docker pull NAME[: TAG]。 对 于 Docker 镜 像 来 说 ， 如 果 不 显 式 地 指定 TAG， 则 默认 会 选择 latest 标 签 ， 即 下 载 仓库 中 最 新 版 本 的 镜 
像 。 


下 面 ， 笔 者 将 演示 如 何 从 Docker Hub 的 Ubuntu 仓 库 下 载 一 个 最 新 的 Ubuntu 操 作 系 统 的 镜像 。 


$ sudo docker pull ubuntu 

ubuntu:latest: The image you are pulling has been verified 

d497ad3926c8: Downloading [======: ] 25.41 MB/201.6 MB 51ml4s 
Ccb62158e970: Download complete 

e€791be0477f2: Download complete 

3680052c0f5c: Download complete 

22093c35d77b: Download complete 

5506de2b643b: Download complete 

511136ea3c5a: Download complete 


该 命令 实际 上 下 载 的 就 是 ubuntu : latest 镜 像 ， 目 前 最 新 的 14.04 版 本 的 镜像 。 


下 载 过 程 中 可 以 看 出 ,镜像 文件 一 般 由 若干 层 组 成 ， 行 首 的 2185fd50e2ca 这 样 的 字 捉 代表 了 各 层 的 |ID。 下 载 过 程 中 会 获取 并 输出 镜像 的 各 层 信息 。 层 (Layer) 其 实 是 AUFS (Advanced Union File 
System， 一 种 联合 文件 系统 ) 中 的 重要 概念 ， 是 实现 增 量 保存 与 更 新 的 基础 。 


读者 还 可 以 通过 指定 标签 来 下 载 特定 版 本 的 某 一 个 镜像 ， 例 如 14.04 标 签 的 镜像 。 


$ sudo docker pull ubuntu: 14.04 


上 面 两 条 命令 实际 上 都 相当 于 $sudo docker pull registry.hub.docker.com/ubuntu: latest 命 令 ， 即 从 默认 的 注册 服务 器 registry.hub.dockercom 中 的 ubuntu 仓库 来 下 载 标记 为 latest 的 镜像 。 


户 也 可 以 选择 从 其 他 注册 服务 器 的 仓库 下 载 。 此 时 ， 需 要 在 仓库 名 称 前 指定 完整 的 仓库 注册 服务 器 地 址 。 例 如 从 DockerPool 社 区 的 镜像 源 dl.dockerpool.com 下 载 最 新 的 Ubuntu 镜像 。 


$ sudo docker pull dl.dockerpool.com:5000/ubuntu 


下 载 镜像 到 本 地 后 ， 即 可 随时 使 用 该 镜像 了 ， 例 如 利用 该 镜像 创建 一 个 容器 ， 在 其 中 运行 bash 应 


$ sudo docker run -t -i ubuntu /bin/bash 
root@fe7fc4bd8fc9:/# 


3.2 ”查看 镜像 信息 


使 用 docker images 命 令 可 以 列 出 本 地 主机 上 已 有 的 镜像 。 


例如 ， 下 面 的 命令 列 出 了 本 地 刚 从 官方 下 载 的 ubuntu: 14.04 镜 像 ， 以 及 从 DockerPool 镜 像 源 下 载 的 ubuntu: latest 镜 像 。 


$ sudo docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.0 5506de2b643b 1 weeks ago 197.8 MB 
dl.dockerpool.com:5000/ubuntu latest . 5506de2b643b 1 weeks ago 197.8 MB 


在 列 出 信息 中 ， 可 以 看 到 几 个 字段 信息 : 


- 来自 于 哪个 仓库 ， 比 如 ubuntu 仓库 。 


“ 镜像 的 标签 信息 ， 比 如 14.04。 
“ 镜像 的 ID 号 (唯一 ) 。 
“ 创建 时 间 。 


“ 镜像 大 小 。 


其 中 镜像 的 ID 信息 十 分 重要 ， 它 唯一 标识 了 镜像 。 


TAG 信息 用 于 标记 来 自 同一 个 仓库 的 不 同 镜像 。 例 如 ubuntu 仓库 中 有 多 个 镜像 ， 通 过 TAG 信息 来 区 分 发 行 版 本 ， 包 括 10.04、12.04、12.10、13.04、14.04 等 标签 ， 


为 了 方便 在 后 续 工 作 中 使 用 这 个 镜像 ， 还 可 以 使 用 docker tag 命 令 为 本 地 镜像 添加 新 的 标签 。 例 如 添加 一 个 新 的 ubuntu : latest 镜 像 标签 如 下 : 


$ sudo docker tag dl.dockerpool.com:5000/ubuntu:latest ubuntu:latest 


再 次 使 用 docker images 列 出 本 地 主机 上 镜像 信息 ， 可 以 看 到 多 了 一 个 ubuntu: latest 标 签 的 镜像 。 


$ sudo docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


ubuntu 14.04 5506de2b643b 1 weeks ago 197.8 MB 
dl.dockerpool.com:5000/ubuntu latest ^ 5506de2b643b 1 weeks ago 192.8 MB 
ubuntu latest 5506de2b643b 1 weeks ago 192.8 MB 


细心 的 读者 可 能 会 注意 到 ， 这 些 不 同 标签 的 镜像 的 ID 是 完全 一 致 的 ， 说 明 它们 实际 上 指向 了 同一 个 镜像 文件 ， 只 是 别名 不 同 而 已 。 标 签 在 这 里 起 到 了 引用 或 快捷 方式 的 作用 。 


使 用 docker inspect 命 令 可 以 获取 该 镜像 的 详细 信息 。 


$ sudo docker inspect 5506de2b643b 
[ 


"Architecture": "amd64", 
"Author": 
"Comment 
"Config": { 
"AttachStderr": false, 
"AttachStdin": false, 
"AttachStdout": false, 
"Cmd": [ 
"/bin/bash" 


’ 


l; 
"CpuShares": 0, 


"Entrypoint": 
"Env": [ 
"PATH-/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" 


, 
"ExposedPorts": null, 

"Hostname": "065262ce3c91", 

"Image" :"964692831e07f7362f5c3fedf0c4b81a622f2c6e3ec5f19d0eddff21lafd64c12", 
"Memory": 0, 

"MemorySwap": 0, 

"NetworkDisabled": false, 

"OnBuild": [], 

"OpenStdin": false, 

"PortSpecs": null, 

"StdinOnce": false, 

"Tty": false, 


"User": 
"Volumes": null, 
"WorkingDir": "" 


D 


ks 
"Container" :"f26bc14cc07412402bdab911b8a935fead0322649cf042cee8515c02ebdfa53a", 
"ContainerConfig": { 

"AttachStderr": false, 

"AttachStdin": false, 

"AttachStdout": false, 

"Cmd": [ 

"/bin/sh", 


l]; 

"CpuShares": 

"Opuset™; " 

"Domainname": " 

"Entrypoint": null, 

"Env": [ 
"PATH-/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" 


l; 
"ExposedPorts": null, 

"Hostname": "065262ce3c91", 

"Image" :"964692831e07f7362f5c3fedf0c4b81a622f2c6e3ec5f19d0eddff2lafd64c12", 
"Memory": 0, 

"MemorySwap": 0, 

"NetworkDisabled": false, 

"OnBuild": [], 

"OpenStdin": false, 

"PortSpecs": null, 

"StdinOnce": false, 


"Tty": false, 
"User"; "", 
"Volumes": null, 
"WorkingDir": "" 
Fe 
"Created": "2014-09-23T22:37:05.8122136292", 
"DockerVersion": "1.2.0", 
"Id": "53bf7a53e8903fce40824663901aac6211373a8d8b4effe08bc884e63e181805", 
"Os": "linux", 


"964692831e07£7362f5c3fedf0c4b81a622f2c6e3ec5f19d0eddff21afd64c12", 


docker inspect 命 令 返回 的 是 一 个 JSON 格 式 的 ; 


息 ， 如 果 我 们 只 要 其 中 一 项 内 容 时 ， 可 以 使 用 -f 参 数 来 指定 ， 例 如， 获取 镜像 的 Architecture 信 息 : 


$ sudo docker inspect -f {{".Architecture"}} 550 
amd64 


在 指定 镜像 ID 的 时 候 ， 通 常 使 用 该 ID 的 前 若干 个 字符 组 成 的 可 区 分 字 串 来 蔡 代 完整 的 ID。 


33 ”搜寻 镜像 


使 用 docker search 命 令 可 以 搜索 远 端 仓库 中 共享 的 镜像 ， 默 认 搜索 Docker Hub 官 方 仓库 中 的 镜像 。 用 法 为 docker search TERM ， 支 持 的 参数 包括 : 


- --automated= 人 false 仅 显示 自动 创建 的 镜像 。 
- --no-trunc=false 输 出 信息 不 截断 显示 。 
“ -s,--stars 二 0 指定 仅 显示 评价 为 指定 星 级 以 上 的 镜像 。 


例如 ， 搜 索 带 mysql 关 键 字 的 镜像 如 下 所 示 : 


$ sudo docker search mysql 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

mysql MySQL is a widely used, open-source relatihttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 213 
tutum/mysql MySQL Server image - listens in port 3306http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/..http://www.L. 
orchardup/mysql 36 [OK] 

tutum/lamp LAMP image - Apache listens in port 80, anhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... | 32 
tutum/wordpress Wordpress Docker image - listens in port 8http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 26 
paintedfox/mariadb A docker image for running MariaDB 5.5, a http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/O0EBPS/Text/... 21 
dockerfile/mysql Trusted automated MySQL (http://dev.mysqlhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/. .http: / /www. 
google/mysql MySQL server for Google Compute Engine 13 [OK] T 

anapsix/gitlab-ci GitLab-CI Continuous Integration in Dockerhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 12 
centurylink/drupal Drupal docker image without a DB included http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 11 
stenote/docker-lemp MySQL 5.6. PHP 5.5. Nginx. Memcache 10 [OK] 


http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


可 以 看 到 返回 了 很 多 包含 关键 字 的 镜像 ， 其 中 包括 镜像 名 字 、 描 述 、 星 级 (表示 该 镜像 的 受 欢迎 程度 ) 、 是 否 官方 创建 、 是 否 自动 创建 等 。 


默认 的 输出 结果 将 按照 星 级 评价 进行 排序 。 官 方 的 镜像 说 明 是 官方 项 目 组 创建 和 维护 的 ，automated 资 源 则 允许 用 户 验 证 镜像 的 来 源 和 内 容 。 


3.4 删除 镜像 


使 用 镜像 的 标签 删除 镜像 


使 用 docker rmi 命 令 可 以 删除 镜像 ， 命 令 格式 为 docker rmi IMAGE[IMAGEhttp://www.hzcourse.comy/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/15029/OEBPS/Text/.]， 其 中 IMAGE 可 以 为 标签 或 ID。 


例如 ， 要 删除 掉 dl.dockerpool.com: 5000/ubuntu: latest 镜 像 ， 可 以 使 用 如 下 命令 : 


$ sudo docker rmi dl.dockerpool.com:5000/ubuntu 
Untagged: dl.dockerpool.com:5000/ubuntu:latest 


读者 可 能 会 担心 ， 本 地 的 ubuntu : latest 镜 像 是 否 会 受到 此 命令 的 影响 。 无 需 担 心 ， 当 同一 个 镜像 拥有 多 个 标签 的 时 人 息 ，docker rmi 命 令 只 是 删除 了 该 镜像 多 个 标签 中 的 指定 标签 而 已 ， 并 不 影响 镜像 
文件 。 因 此 上 述 操作 相当 于 只 是 删除 了 镜像 5506de2b643b 的 一 个 标签 而 已 。 


为 保险 起 见 ， 再 次 查看 本 地 的 镜像 ， 发 现 ubuntu : latest 镜 像 (准确 地 说 ， 是 5506de2b643b 镜 像 ) 仍然 存在 : 


$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 5506de2b643b 1 weeks ago 197.8 MB 
ubuntu latest 5506de2b643b 1 weeks ago 192.8 MB 


但 当 镜像 只 剩 下 一 个 标签 的 时 候 就 要 小 心 了 ， 此 时 再 使 用 docker rmi 命 令 会 彻底 删除 该 镜像 。 


假设 本 地 存在 一 个 标签 为 mysql: latest 的 镜像 ， 且 没有 额外 的 标签 指向 它 ， 执 行 docker rmi 命 令 ， 可 以 看 出 它 会 删除 这 个 镜像 文件 的 所 有 AUFS 层 : 


$ sudo docker rmi mysql:latest 

Untagged: mysql:latest 

Deleted: 9a09222edf600a03ea48bd23cfa363841e45a8715237e3a58cb0167f0e8bad54 
Deleted: 4daeda4ad839a152a3b6496720d513597747£81866a3bc0el6d0af3f65cc8af6 
Deleted: cf07a411bf0883bd632940e8108dac49c64456a47f7390507de5685bbd6daf85 
Deleted: 4f513746df18b222a07bb8d76d4b6829752ce5dcb69bfad0ce92e6c1449a3821 
Deleted: 228ecd435c8a29825577999036701a27£2467874c915bb8eb9fb175b1f98aa60 
Deleted: 37e4b3932afa186924a09eab332bc8ebec3aac8bac074314ed9a2d1e94547£50 
Deleted: 898883ccfcee705e440547e30e240cb025c12410d7c9e4d2bcb11973ba075975 
Deleted: 0a09ddcf99b7fd8fcb3525c41b54696038ecf13677£4459f1c98c742ffa60ab2 
Deleted: 35bc8591e39be5089265a093e234d13a4b155a01d2ab9e8904eafa81664fb597 
Deleted: 857e856e4481459ee88a4cdedd9aaf855666b3494fa38506e6788361c0af4cda 


使 用 镜像 iD 删除 镜像 


当 使 用 docker rmi 命 令 后 面 跟 上 镜像 的 ID (也 可 以 是 ID 能 进行 区 分 的 部 分 前 缀 串 ) 时 ， 会 先 尝试 删除 所 有 指向 该 镜像 的 标签 ， 然 后 删除 该 镜像 文件 本 身 。 


当 有 该 镜像 创建 的 容器 存在 时 ， 镜 像 文件 默认 是 无 法 被 删除 的 ， 例 如 : 


a 


先 利 用 ubuntu 镜像 创建 一 个 简单 的 容器 ， 输 出 一 句 话 “hello! 1 am here! " 


$ sudo docker run ubuntu echo 'hello! I am here!' 
hello! I am here! 


使 用 docker ps-a 命 令 可 以 看 到 本 机 上 存在 的 所 有 容器 : 


$ sudo docker ps -a 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
e812617b41f6 ubuntu:latest "echo 'hello! I am h 13 seconds ago Exited (0) 12 seconds ago silly leakey 


可 以 看 到 ， 后 台 存 在 一 个 退出 状态 的 容器 ， 是 刚 基 于 ubuntu : latest 镜 像 创建 的 。 


试图 删除 该 镜像 ，Docker 会 提示 有 容器 正在 运行 ， 无 法 删除 : 


$ sudo docker rmi ubuntu 
Error response from daemon: Conflict, cannot delete 5506de2b643b because the container e812617b41f6 is using it, use -f to force 
2014/10/16 18:10:31 Error: failed to remove one or more images 


如 果 要 想 强行 删除 镜像 ， 可 以 使 用 -f 参 数 : 


$ sudo docker rmi -f ubuntu 


笔者 不 推荐 使 用 -f 参 数 来 强制 删除 一 个 存在 容器 依赖 的 镜像 ， 因 为 这 样 往往 会 造成 一 些 遗留 问题 。 


再 次 使 用 docker images 查 看 本 地 的 镜像 列表 ， 读 者 会 发 现 一 个 标签 为 <none> 的 临时 镜像 ， 原 来 被 强制 删除 的 镜像 换 了 新 的 ID 继续 存在 系统 中 。 


$ sudo docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
«none» «none» 2318826665ef 3 months ago 198.7 MB 


因此 ， 正 确 的 做 法 是 ， 先 删除 依赖 该 镜像 的 所 有 容器 ， 再 来 删除 镜像 。 首 先 删除 容器 e812617b41f6: 


$ sudo docker rm e81 
e81 


此 时 再 使 用 临时 的 1D 来 删除 镜像 ， 此 时 会 正常 打印 出 删除 的 各 层 信息 : 


coreülocalhost ~ $ docker rmi -f 2318d26665ef 

Deleted: 2318d26665eff33e9f91c4c99036751afb40eb58f944a585372bec1407828ad3 
Deleted: ebc34468f71dca9cb9937bf4c33062540bcacae148df8a70053bfdlacbecaa20 
Deleted: 25f11f5fb0cb9e41531d1da8dc56351286427e070c536f7015fe76e4dae0a4bc 
Deleted: 9bad880da3d219b104238041474d6982da1la7bb1e285777a4d746afca6215bebb 
Deleted: 511136ea3c5a64f264b7855433614aec563103b484702f3ba7d482698e22c158 


此 时 查看 本 地 镜像 ， 读 者 会 发 现 临 时 镜像 已 经 被 删除 : 


$ sudo docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


35 “创建 镜像 


创建 镜像 的 方法 有 三 种 : 基于 已 有 镜像 的 容器 创建 、 基 于 本 地 模板 导入 、 基 于 Dockerfile 创 建 。 


本 节 将 重点 介绍 前 两 种 方法 。 最 后 一 种 基于 Dockerfile 创 建 的 方法 将 在 后 续 章节 专门 予以 详细 介绍 。 


基于 已 有 镜像 的 容器 创建 


该 方法 主要 是 使 用 docker commit 命 令 ， 其 命令 格式 为 docker commit[OPTIONS]CONTAINER[REPOSITORY[: TAG]]， 主 要 选项 包括 : 


-a--author="" 作 者 信息 。 
“ -m,--message 二 "提交 消息 。 


` -p,--pause=true 提 交 时 暂停 容器 运行 。 


下 面 将 演示 如 何 使 用 该 命令 创建 一 个 新 镜像 。 首 先 ， 启 动 一 个 镜像 ， 并 在 其 中 进行 修改 操作 ， 例 如 创建 一 个 test 文 件 ， 之 后 退出 : 


$ sudo docker run -ti ubuntu:14.04 /bin/bash 
root8a925cb40b3f0:/4 touch test 
root8a925cb40b3f0:/4 exit 


记 住 容器 的 ID 为 3925cb40b3f0。 


此 时 该 容器 跟 原 ubuntu : 14.04 镜 像 相 比 ， 已 经 发 生 了 改变 ， 可 以 使 用 docker commit 命 令 来 提交 为 一 个 新 的 镜像 。 提 交 时 可 以 使 用 ID 或 名 称 来 指定 容器 : 


$ sudo docker commit -m "Added a new file" -a "Docker Newbee" a925cb40b3f0 test 
9e9c814023bcffc3e67e892a235afe61b02£66a947d2747£724bd317dda02£27 


顺利 的 话 ， 命 令 会 返回 新 创建 的 镜像 的 ID 信息 ， 例 如 : 


9e9c814023bcffc3e67e892a235afe61b02f66a947d2747f724bd317dda02f27 


此 时 查看 本 地 镜像 列表 ， 即 可 看 到 新 创建 的 镜像 : 


$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
test latest 9e9c814023bc 4 seconds ago 225.4 MB 
基于 本 地 模板 导入 


也 可 以 直接 从 一 个 操作 系统 模板 文件 导入 一 个 镜像 。 在 这 里 ， 推 荐 使 用 OpenVZ 提 供 的 模板 来 创建 。OPENVZ 模 板 的 下 载 地 址 为 http://openvz.org/Download/templates/precreated。 


比如 ， 笔 者 下 载 了 一 个 ubuntu-14.04 的 模板 压缩 包 后 ， 可 以 使 用 以 下 命令 导入 : 


$ sudo cat ubuntu-14.04-x86 64-minimal.tar.gz  |docker import - ubuntu:14.04 


然后 查看 新 导入 的 镜像 ， 已 经 在 本 地 存在 了 : 


$ sudo docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 05ac7c0b9383 17 seconds ago 215.5 MB 


3.6 ” 存 出 和 载 入 镜像 


可 以 使 用 docker save 和 docker load 命 令 来 存 出 和 载 入 镜像 。 


存 出 镜像 


如 果 要 存 出 镜像 到 本 地 文件 ， 可 以 使 用 docker save 命 令 。 例 如 ， 存 出 本 地 的 ubuntu: 14.04 镜 像 为 文件 ubuntu_14.04.tar: 


ubuntu 14.04.tar: 

$ sudo docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 

ubuntu 14.04 c4££7513909d 5 weeks ago 225.4 MB 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
$ sudo docker save -o ubuntu 14.04.tar ubuntu:14.04 


载 入 镜像 


可 以 使 用 docker load 从 存 出 的 本 地 文件 中 再 导入 到 本 地 镜像 库 ， 例 如 从 文件 ubuntu_14.04.tar 导 入 镜像 到 本 地 镜像 列表 ， 如 下 所 示 : 


$ sudo docker load --input ubuntu 14.04.tar 


或 


$ sudo docker load < ubuntu 14.04.tar 


这 将 导入 镜像 以 及 其 相关 的 元 数据 信息 (包括 标签 等 ) ， 可 以 使 用 docker images 命 令 进行 查看 。 


3.7” 上 传 镜像 


可 以 使 用 docker push 命 令 上 传 镜像 到 仓库 ， 黑 认 上 传 到 DockerHub 官 方 仓库 (需要 登录 ) ， 命 令 格式 为 docker push NAME[: TAG]. 


在 DockerHub 网 站 注册 后 ， 即 可 上 传 自制 的 镜像 。 例 如 用 户 user 上 传 本 地 的 test: latest 镜 像 ， 可 以 先 添加 新 的 标签 user/test: latest， 然 后 用 docker push 命 令 上 传 镜像 : 


$ sudo docker tag test:latest user/test:latest 

$ sudo docker push user/test:latest 

The push refers to a repository [base/163] (len: 1) 
Sending image list 

Please login prior to push: 

Username: 

Password: 

Email: xxx8xxx.com 


第 一 次 使 用 时 ， 会 提示 输入 登录 信息 或 进行 注册 。 


38 ”本 章 小 结 


本 章 具体 介绍 了 围绕 Docker 镜 像 的 一 系列 重要 命令 操作 ， 包 括 获 取 、 查 看 、 搜 索 、 删 除 、 创 建 等 。 


i 
E 


读者 可 能 已 经 发 现 ， 镜 像 是 使 用 Docker 的 前 提 ， 也 是 最 重要 的 资源 。 所 以 ， 在 平时 的 Docker 使 用 中 ， 推 荐 大 家 注意 积累 定制 的 镜像 文件 ， 并 将 自己 创建 的 高 质量 镜像 分 享 到 社 


在 后 续 章 节 ， 笔 者 将 会 介绍 更 多 对 镜像 进行 操作 的 场景 。 


mam 容器 


容器 是 Docker 的 另 一 个 核心 概念 。 


简单 地 说 ， 容 器 是 镜像 的 一 个 运行 实例 ， 所 不 同 的 是 ， 它 带 有 额外 的 可 写 文件 层 。 


如 果 认 为 虚拟 机 是 模拟 运行 的 一 整套 操作 系统 (提供 了 运行 态 环境 和 其 他 系统 环境 ) 和 跑 在 上 面 的 应 用 。 那 么 Docker 容 器 就 是 独立 运行 的 一 个 或 一 组 应 用 ， 以 及 它们 的 必需 运行 环境 。 


本 章 将 具体 介绍 围绕 容器 的 重要 操作 ， 包 括 创建 一 个 容器 、 启 动容 器 、 终 止 一 个 容器 、 进 入 容器 内 执行 操作 、 删 除 容器 和 通过 导入 导出 容器 来 实现 容器 迁移 等 。 


4.1 创建 容器 


Docker 的 容器 十 分 轻 量 级 ， 用 户 可 以 随时 创建 或 删除 容器 。 


新 建 容器 


可 以 使 用 docker create 命 令 新 建 一 个 容器 ， 例 如 : 


$ sudo docker create -it ubuntu:latest 
7a0c26£96889de4656276608501b7e8f99e4e31e42ec4a288a1f8e7644316637 

$sudo docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
7a0c26f£96889  ubuntu:latest "/bin/bash" 6 seconds ago  stoic albattani 


使 用 docker create 命 令 新 建 的 容器 处 于 停止 状态 ， 可 以 使 用 docker start 命 令 来 启动 它 。 


新 建 并 启动 容器 


启动 容器 有 两 种 方式 ， 一 种 是 基于 镜像 新 建 一 个 容器 并 启动 ， 另 外 一 个 是 将 在 终止 状态 (stopped) 的 容器 重新 启动 。 所 需要 的 命令 主要 为 docker run， 等 价 于 先 执行 docker create 命 令 ， 再 执行 


docker start 命 令 。 


例如 ， 下 面 的 命令 输出 一 个 “Hello World”， 之 后 容器 自动 终止 : 


$ sudo docker run ubuntu /bin/echo 'Hello world' 
Hello world 


这 跟 在 本 地 直接 执行 /bin/echo'hello world' 几 乎 感觉 不 出 任何 区 别 。 


当 利 用 docker run 来 创建 并 启动 容器 时 ，Docker 在 后 台 运 行 的 标准 操作 包括 : 


“ 检查 本 地 是 否 存在 指定 的 镜像 ， 不 存在 就 从 公有 仓库 下 载 。 

“ 利用 镜像 创建 并 启动 一 个 容器 。 

“ 分 配 一 个 文件 系统 ， 并 在 只 读 的 镜像 层 外 面 挂 载 一 层 可 读 写 层 。 
“ 从 宿主 主机 配置 的 网 桥接 口中 桥接 一 个 虚拟 接口 到 容器 中 去 。 

“ 从 地 址 池 配 置 一 个 IP 地 址 给 容器 。 

“ 执行 用 户 指定 的 应 用 程序 。 


“ 执行 完毕 后 容器 被 终止 。 


下 面 的 命令 则 启动 一 个 bash 终 端 ， 允 许 用 户 进行 交互 : 


$ sudo docker run -t -i ubuntu:14.04 /bin/bash 


root@af8bae53bdd3:/# 


其 中 ，-t 选 项 让 Docker 分 配 一 个 伪 终 端 (pseudo-tty) 并 绑 定 到 容器 的 标准 输入 上 ，-i 则 让 容器 的 标准 输入 保持 打开 。 


在 交互 模式 下 ， 用 户 可 以 通过 所 创建 的 终端 来 输入 命令 ， 例 如 : 


root@af8bae53bdd3:/# pwd 
/ 


root8af8bae53bdd3:/4 ls 
bin boot dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var 
rootüaf8bae53bdd3:/4 ps 


PID TTY TIME CMD 
13? 00:00:00 bash 
I1 ? 00:00:00 ps 


在 容器 内 用 ps 命令 查看 进程 ， 可 以 看 到 ， 只 运行 了 bash 应 用 ， 并 没有 运行 其 他 不 需要 的 进程 。 


M 


户 可 以 按 Ctrl+ d 或 输入 exit 命 令 来 退出 容器 : 


root@af8bae53bdd3:/# exit 
exit 


对 于 所 创建 的 bash 容 器 ， 当 使 用 exit 命 令 退 出 之 后 ， 该 容器 就 自动 处 于 终止 状态 了 。 这 是 因为 对 于 Docker 容 器 来 说 ， 当 运行 的 应 用 (此 处 例子 中 为 bash) 退出 后 ， 容 器 也 就 没有 继续 运行 的 必要 了 。 


更 多 的 时 候 ， 需 要 让 Docker 容 器 在 后 台 以 守护 态 (Daemonized) 形式 运行 。 用 户 可 以 通过 添加 -d 参 数 来 实现 。 


例如 下 面 的 命令 会 在 后 台 运 行 容器 : 


$ sudo docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; done" 
ce554267d7a4c34eefc92c5517051dc37b918558873680823e4c8465965044883 


容器 启动 后 会 返回 一 个 唯一 的 ID， 也 可 以 通过 docker ps 命令 来 查看 容器 信息 : 


$ sudo docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t About a minute ago 
Up About a minute determined pik 


要 获取 容器 的 输出 信息 ， 可 以 通过 docker logs 命 令 : 


$ sudo docker logs ce5 
hello world 
hello world 
hello world 


42 终止 容器 


可 以 使 用 docker stop 来 终止 一 个 运行 中 的 容器 ， 命 令 的 格式 为 docker stop[-t|--time[=10]]。 它 会 首先 向 容器 发 送 SIGTERM 信 和 号， 等 待 一 段 时 间 后 (默认 为 10 秒 ) ， 再 发 送 SIGKILL 信 号 终止 容器 。 


此 外 ， 当 Docker 容 器 中 指定 的 应 用 终结 时 ， 容 器 也 自动 终止 。 例 如 对 于 上 一 节 中 只 启动 了 一 个 终端 的 容器 ， 用 户 通过 exit 命 令 或 Ctrl+ d 来 退出 终端 时 ， 所 创建 的 容器 立刻 终止。 


另外 ， 可 以 使 用 docker stop 来 终止 一 个 运行 中 的 容器 : 


$ sudo docker stop ce5 
ce5 


Qus docker kill 命 令 会 直接 发 送 SIGKILL 信 和 号 来 强行 终止 容器 。 


可 以 使 用 docker ps-a-q 命 令 看 到 处 于 终止 状态 的 容器 的 ID 信息 。 例 如 : 


$ sudo docker ps -a -q 
ce554267d7a4 
d58050081fe3 
e812617b41f6 


处 于 终止 状态 的 容器 ， 可 以 通过 docker start 命 令 来 重新 启动 : 


$ sudo docker start ce5 

ce5 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t 4 minutes ago 
Up 5 seconds determined pike 


此 外 ，docker restart 命 令 会 将 一 个 运行 态 的 容器 终止 ， 然 后 再 重新 启动 它 : 


$ sudo docker restart ce5 

ce5 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t 5 minutes ago 
Up 14 seconds | determined pike 


4.3 ”进入 容器 


在 使 用 -d 参 数 时 ， 容 器 启动 后 会 进入 后 台 ， 用 户 无 法 看 到 容器 中 的 信息 。 某 些 时 候 如 果 需 要 进入 容器 进行 操作 ， 有 多 种 方法 ， 包 括 使 用 docker attach 命 令 、docker exec 命 令 ,以 及 nsenter 工 . 


attach 命 令 


docker attach 是 Docker 自 带 的 命令 。 下 面 示例 如 何 使 用 该 命令 : 


$ sudo docker run -idt ubuntu 
243c32535da'7d142fb0e6df616a3c3ada0b8ab417937c853a9e1c251£499f550 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
243c32535da7 ubuntu:latest "/bin/bash" 18 seconds ago 
Up 17 seconds nostalgic hypatia 

$ sudo docker attach nostalgic hypatia 

root@243c32535da7:/# 


但 是 使 用 attach 命 令 有 时 候 并 不 方便 。 当 多 个 窗口 同时 attach 到 同一 个 容器 的 时 候 ， 所 有 窗口 都 会 同步 显示 。 当 某 个 窗口 因 命令 阻塞 时 ， 其 他 窗口 也 无 法 执行 操作 了 。 


exec 命 令 


Docke 自 1.3 版 本 起 ， 提 供 了 一 个 更 加 方便 的 工具 exec， 可 以 直接 在 容器 内 运行 命令 。 例 如 进入 到 刚 创建 的 容器 中 ， 并 启动 一 个 bash : 


$ sudo docker exec -ti 243c32535da7 /bin/bash 
root@243c32535da7:/# 


nsenter 工 具 


nsenter 工 具 在 util-linux 包 2.23 版 本 后 包含 。 如 果 系统 中 util-linux 包 没有 该 命令 ， 可 以 按照 下 面 的 方法 从 源码 安装 : 


$ cd /tmp; curl https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util-linux-2.24.tar.gz | tar -zxf-; cd util-linux-2.24; 
$ ./configure --without-ncurses 
$ make nsenter && sudo cp nsenter /usr/local/bin 


为 了 使 用 nsenter 连 接 到 容器 ， 还 需要 找到 容器 的 进程 的 PID， 可 以 通过 下 面 的 命令 获取 : 


PID=$ (docker inspect --format "{{ .State.Pid }}" <container>) 


通过 这 个 PID， 就 可 以 连接 到 这 个 容器 : 


$ nsenter --target $PID --mount --uts --ipc --net --pid 


下 面 给 出 一 个 完整 的 例子 : 


$ sudo docker run -idt ubuntu 
243c32535da7d142fb0e6df616a3c3ada058ab417937c853a9e1c251£499f550 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


243c32535da7 ubuntu:latest "/bin/bash" 18 seconds ago 
Up 17 seconds nostalgic hypatia 

$ PID-$ (docker-pid 243c32535da7) 

10981 


$ sudo nsenter --target 10981 --mount --uts --ipc --net --pid 
root@243c32535da7:/# 

root@ce554267d7a4:/# w 

11:07:36 up 3:14, 0 users, load average: 0.00, 0.02, 0.05 
USER TTY FROM LOGING IDLE JCPU PCPU WHAT 
root68ce554267d7a4:/4 ps -ef 

# 通 过 Ps -ef 命令 可 以 看 到 容器 中 运行 的 进程 


UID PID PPID C STIME TTY TIME CMD 

root 1 0 0 10:56 ? 00:00:00 /bin/sh -c while true; do echo 
hello world; sleep 1; done 

root 699 0 0 11:07 ? 00:00:00 /bin/bash 

root 716 1 0 11:07 ? 00:00:00 sleep 1 

root 717 699 0 11:07 ? 00:00:00 ps -ef 


44 删除 容器 


可 以 使 用 docker rm 命令 删除 处 于 终止 状态 的 容器 ， 命 令 格式 为 docker rm[OPTIONS]JCONTAINER[CONTAINERhttp://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/15029/OEBPS/Text/.…]。 支 持 的 选项 包括 : 


“ -f,--force=false 强 行 终 止 并 删除 一 个 运行 中 的 容器 。 
“J,--link=false 删 除 容器 的 连接 ， 但 保留 容器 。 
* -w--volumes=false 删 除 容 器 挂 载 的 数据 卷 。 


例如 ， 查 看 处 于 终止 状态 的 容器 并 删除 如 下 所 示 : 


$ sudo docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t 3 minutes ago 

Exited (-1) 13 seconds ago determined pike 

d58050081fe3 ubuntu:latest "/bin/bash" ^ About an hour ago Exited (0) About an hour ago berserk brattain 
e812617b41f6 ubuntu:latest "echo 'hello! I am h 2 hours ago Exited (0) 3 minutes ago n 


$ sudo docker rm ce554267d7a4 
$ ce554267d7a4 


如 果 要 删除 一 个 运行 中 的 容器 ， 可 以 添加 -f 参 数 。Docker 会 发 送 SIGKILL 信 号 给 容器 ， 终 止 其 中 的 应 用 : 


$ sudo docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; done" 
2aed76caf8292c7da6d24c3c7£3a81a135af942ed1707a79£8595521784dd594 

$ sudo docker rm 2ae 

Error response from daemon: You cannot remove a running container. Stop the container before attempting removal or use -f 
2014/11/03 04:05:24 Error: failed to remove one or more containers 

$ sudo docker rm -f 2ae 

2ae 


45 导入 和 导出 容器 


导出 容器 


导出 容器 是 指导 出 一 个 已 经 创建 的 容器 到 一 个 文件 ， 不 管 此 时 这 个 容器 是 否 处 于 运行 状态 ， 可 以 使 用 docker export 命 令 ， 该 命令 格式 为 docker export CONTAINER, 


查看 所 有 的 容器 如 下 所 示 : 


$ sudo docker ps -a 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t" 3 minutes ago Exited (-1) 13 seconds ago determined pike 
d58050081fe3 ubuntu:latest "/pin/bash" About an hour ago Exited (0) About an hour ago berserk brattain 
e812617b41f6 ubuntu:latest "echo 'hello! I am h" 2 hours ago Exited (0) 3 minutes ago silly leakey 


分 别 导出 ce554267d7a4 容 器 和 e812617b41f6 容 器 到 test_for_run.tar 文 件 和 test_for_stop.tar 文 件 : 


$ sudo docker export ce5 >test for run.tar 
$ 1s 

test for run.tar 

$ sudo docker export e81 »test for stop.tar 
$ 1s in 

test for run.tar test for stop.tar 


可 将 这 些 文件 传输 到 其 他 机 器 上 ， 在 其 他 机 器 上 通过 导入 命令 实现 容器 的 迁移 。 


导入 容器 


了 出 的 文件 又 可 以 使 用 docker import 命 令 导 入 ， 成 为 镜像 ， 例 如 : 


$ cat test for run.tar | sudo docker import - test/ubuntu:v1l.0 

$ sudo docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
test/ubuntu v1.0 9dq37a6082e97 About a minute ago 171.3 MB 


读者 可 能 会 记得 ， 笔 者 在 之 前 章节 曾 介绍 过 使 用 docker load 命 令 来 导入 一 个 镜像 文件 。 


实际 上 ， 既 可 以 使 用 docker load 命 令 来 导入 镜像 存储 文件 到 本 地 的 镜像 库 ， 又 可 以 使 用 docker import 命 令 来 导入 一 个 容器 快照 到 本 地 镜像 库 。 这 两 者 的 区 别 在 于 容器 快照 文件 将 丢弃 所 有 的 历史 记录 
和 元 数据 信息 ( 即 仅 保存 容器 当时 的 快照 状态 ) ， 而 镜像 存储 文件 将 保存 完整 记录 ， 体 积 也 要 大 。 此 外 ， 从 容器 快照 文件 导入 时 可 以 重新 指定 标签 等 元 数据 信息 。 


46 ”本 章 小 结 


容器 是 直接 提供 应 用 服务 的 组 件 ， 也 是 Docker 实 现 快速 的 启 停 和 高 效 服务 性 能 的 基础 。 


通过 本 章 内 容 的 介绍 和 示例 ， 相 信 已 经 掌握 了 对 容器 整个 生命 周期 进行 管理 的 各 项 操作 命令 。 


在 生产 环境 中 ， 因 为 容器 自身 的 轻 量 级 特性 ， 笔 者 推荐 使 用 容器 时 在 容器 前 段 引 入 HA (高 可 靠 性 ) 机 制 ， 例 如 使 用 HAProxy 工 具 来 代理 容器 访问 ， 这 样 在 容器 出 现 故障 时 候 ， 可 以 快速 切换 到 其 他 容 
器 ， 还 可 以 自动 重启 故障 容器 。 


第 5 章 仓库 


仓库 (Repository) 是 集中 存放 镜像 的 地 方 。 


一 个 容易 与 之 混淆 的 概念 是 注册 服务 器 (Registry) 。 实 际 上 注册 服务 器 是 存放 仓库 的 具体 服务 器 ， 每 个 服务 器 上 可 以 有 多 个 仓库 ， 而 每 个 仓库 下 面 有 多 个 镜像 。 从 这 方面 来 说 ,仓库 可 以 被 认为 是 一 
个 具体 的 项 目 或 目录 。 例 如 对 于 仓库 地 址 dl.dockerpool.com/ubuntu 来 说 ，dl.dockerpool.com 是 注册 服务 器 地 址 ，ubuntu 是 仓库 名 。 


仓库 又 分 公共 仓库 和 私有 仓库 ， 在 本 章 笔者 将 分 别 展示 如 何 使 用 DockerHub 官 方 仓库 进行 登录 、 下 载 等 基本 操作 ， 以 及 使 用 DockerPool 社 区 提供 的 仓库 下 载 镜像 ， 最 后 还 将 介绍 创建 和 使 用 私有 仓库 
的 基本 操作 。 


5.1 Docker Hub 


目前 Docker 官 方 维护 了 一 个 公共 仓库 https://hub.dockercom， 其 中 已 经 包括 15000 多 个 的 镜像 。 大 部 分 需求 都 可 以 通过 在 Docker Hub 中 直接 下 载 镜像 来 实现 ， 如 图 5-1 所 示 。 


"d doc ker What is Docker? Use Cases Tryit! Install &Docs Browse 


Build, Ship and Run 
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Build Ship Run 
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5-1. Docker Hub 


登录 


可 以 通过 执行 docker login 命 令 来 输入 用 户 名 、 密 码 和 邮箱 来 完成 注册 和 登录 。 注 册 成 功 后 ， 本 地 用 户 目录 的 .dockercfg 中 将 保存 用 户 的 认证 信息 。 


基本 操作 


用 户 无 需 登 录 即 可 通过 docker search 命 令 来 查找 官方 仓库 中 的 镜像 ， 并 利用 docker pull 命 令 来 将 它 下 载 到 本 地 。 


在 搜寻 镜像 的 章节 ， 已 经 具体 介绍 了 如 何 使 用 docker pull 命 令 。 例 如 以 centos 为 关键 词 进行 搜索 : 


$ sudo docker search centos 
NAME 


DESCRIPTION STARS OFFICIAL AUTOMATED 
centos The official build of CentOS. 465 [OK] 
tianon/centos CentOS 5 and 6, created using rinse insteahttp: PE hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text./ . . 28 
blalor/centos Bare-bones base CentOS 6.5 image [OK] 
saltstack/centos-6-minimal 6 [OK] 


tutum/centos-6.4 DEPRECATED. Use tutum/centos:6.4 insteadhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/. .http: / /www.t 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/O0EBPS/Text/... 


根据 是 否 为 官方 提供 ， 可 将 这 些 镜像 资源 分 为 两 类 。 一 种 是 类 似 centos 这 样 的 基础 镜像 ， 称 为 基础 或 根 镜像 。 这 些 镜像 是 由 Docker 公 司 创建 、 验 证 、 支 持 、 提 供 。 这 样 的 镜像 往往 使 用 单个 单词 作为 名 


还 有 一 种 类 型 ， 比 如 tianon/centos 镜 像 ， 它 是 由 DockerHub 的 用 户 tianon 创 建 并 维护 的 ， 带 有 用 户 名 称 为 前 缀 ， 表 明 是 某 用 户 的 某 仓库 。 可 以 通过 用 户 名 称 前 缀 user_name/ 来 指定 使 用 某 个 用 户 提供 


的 镜像 ， 比 如 tianon 用 户 的 镜像 前 缀 为 tianon/。 


另外 ， 在 查找 的 时 候 通过 -s N 参 数 可 以 指定 仅 显 示 评价 为 N 星 以 上 的 镜像 。 


下 载 官方 centos 镜 像 到 本 地 如 下 所 示 : 


$ sudo docker pull centos 
Pulling repository centos 
0b443ba03958: Download complete 
539c0211cd76: Download complete 
511136ea3c5a: Download complete 
7064731afe90: Download complete 


户 也 可 以 在 登录 后 通过 docker push 命 令 来 将 本 地 镜像 推送 到 Docker Hub, 


自动 创建 


自动 创建 (Automated Builds) 功能 对 于 需要 经 常 升 级 镜像 内 程序 来 说 十 分 方便 。 有 时 候 ， 用 户 创建 了 镜像 ， 安 装 了 某 个 软件 ， 如 果 软 件 发 布 新 版 本 则 需要 手动 更 新 镜像 。 


而 自动 创建 功能 使 得 用 户 通过 Docker Hub 指 定 跟踪 一 个 目标 网 站 (目前 支持 GitHub 或 BitBucket) 上 的 项 目 ， 一 旦 项 目 发 现 新 的 提交 ， 则 自动 执行 创建 。 


要 配置 自动 创建 ， 包 括 如 下 的 步 又: 


1) 创建 并 登录 Docker Hub， 以 及 目标 网 站 ; * 在 目标 网 站 中 连接 帐户 到 Docker Hub, 


2) 在 Docker Hub 中 配置 一 个 自动 创建 。 


3) 选取 一 个 目标 网 站 中 的 项 目 (需要 含 Dockerfile) 和 分 支 。 


4) 指定 Dockerfile 的 位 置 ， 并 提交 创建 。 


之 后 ,可 以 在 Docker Hub 的 “自动 创建 ”页 面 中 跟踪 每 次 创建 的 状态 。 


5.2 Docker Pool 简 介 


Docker Pool (http://dockerpool.com) 是 国内 专业 的 Docker 技 术 社 区 ， 目 前 也 提供 了 官方 镜像 的 下 载 管 理 服务 ， 如 图 5-2 所 示 。 


DockerPool 


一 站 式 Docker 服务 


最 专业 的 Docker 技术 服务 社区 ， 专 注 Devops 核心 技术 和 热点 方向 。 


Docker 入 门 到 实践 > 


热门 文章 热门 镜像 


名 称 i ubuntu:14.04 | centos:7 
Docker FAQ — Docker 使 用 常见 问题 (持续 更 新 中 ) 下 载 方法 (例如 ， EFE ubuntu zxh8s 12.04 t&/& , BT 
Docker 的 安装 以 使 用 ) : 


Docker 如 何 升 级 到 1.3 版 本 
x $ sudo docker pull 


dl.dockerpool.com:5000/ubuntu:12.04 
$ sudo docker taa 
更 多 文章 > di.dockerpool.com:5000/ubuntu:12.04 ubuntu:12.04 


更 多 下 载 > 


1 
Docker container 容器 介绍 


IE: 
在 coreos 下 创建 一 个 用 ssh SAEN ubuntu 镜像 


图 5-2 Docker Pool 


查看 镜像 


访问 http://www.dockerpool.com/downloads， 即 可 看 到 已 有 的 仓库 和 存储 的 镜像 ， 包 括 CentOS、Ubuntu、Java、Mongo、MySQL、Nginx 等 热门 仓库 和 镜像 。 


以 CentOS 仓 库 为 例 ， 其 中 包括 Centos 5, CentOS 6 和 CentOS 7 等 镜像 。 


下 载 镜像 


下 载 镜像 也 是 使 用 docker pull 命 令 ， 但 是 要 在 镜像 名 称 前 添加 注册 服务 器 的 具体 地 址 dl.dockerpool.com: 5000, 


例如 ， 要 下 载 ubuntu 仓库 的 12.04 镜 像 ， 可 以 使 


$ sudo docker pull dl.dockerpool.com:5000/ubuntu:12.04 


通过 docker images 命 令 来 查看 下 载 到 本 地 的 镜像 : 


$ sudo docker images 
dl.dockerpool.com:5000/ubuntu 12.04 ae7818fadlbc 1 min ago 116.2 MB 


下 载 后 ， 可 以 更 新 镜像 的 标签 ， 与 官方 标签 保持 一 致 : 


$ sudo docker tag dl.dockerpool.com:5000/ubuntu:12.04 ubuntu:12.04 


需要 注意 的 是 ， 从 Docker Pool 下 载 的 镜像 文件 ， 与 官方 镜像 文件 是 完全 一 致 的 。 


另外 ， 阿 里 云 等 服务 商 也 已 经 提供 了 Docker 镜 像 的 下 载 服务 。 当 然 ， 最 便捷 的 方式 还 是 搭建 本 地 的 仓库 服务 器 ， 将 在 后 续 章节 予以 介绍 。 


5.3 ”创建 和 使 用 私有 仓库 


使 用 registry 镜 像 创建 私有 仓库 


安装 Docker 后 ， 可 以 通过 官方 提供 的 registry 镜 像 来 简单 搭建 一 套 本 地 私有 仓库 环境 : 


$ sudo docker run -d -p 5000:5000 registry 


这 将 自动 下 载 并 启动 一 个 registry 容 器 ， 创 建 本 地 的 私有 仓库 服务 。 
默认 情况 下 ,会 将 仓库 创建 在 容器 的 /tmp/registry 目 录 下 。 可 以 通过 -v 参 数 来 将 镜像 文件 存放 在 本 地 的 指定 路 径 上 。 


例如 下 面 的 例子 将 上 传 的 镜像 放 到 /opt/data/registry 目 录 : 


$ sudo docker run -d -p 5000:5000 -v /opt/data/registry:/tmp/registry registry 


此 时 ， 在 本 地 将 启动 一 个 私有 仓库 服务 ， 监 听 端 口 为 5000。 


管理 私有 仓库 镜像 


首先 在 本 书 环境 的 笔记 本 上 (Linux Mint) 搭建 私有 仓库 ， 查 看 其 地 址 为 10.0.2.2: 5000。 然 后 在 虚拟 机 系统 (Ubuntu 14.04) 里 测试 上 传 和 下 载 镜像 。 


在 Ubuntu 14.04 系 统 查看 已 有 的 镜像 : 


$ sudo docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 ba5877dc9bec 6 days ago 199.3 MB 


使 用 docker tag 命 令 将 这 个 镜像 标记 为 10.0.2.2: 5000/test (格式 为 docker tag IMAGE[: TAG][REGISTRYHOST/][USERNAME/]NAME[: TAG]) : 


[REGISTRYHOST/] [USERNAME/]NAME [ : TAG] ) : 
$ sudo docker tag ubuntu:14.04 10.0.2.2:5000/test 
$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 ba5877dc9bec 6 days ago 199.3 MB 
10.0.2.2:5000/test latest ba5877dc9bec 6 days ago 199.3 MB 


使 用 docker push 上 传 标记 的 镜像 : 


$ sudo docker push 10.0.2.2:5000/test 

The push refers to a repository [10.0.2.2:5000/test] (len: 1) 
Sending image list 

Pushing repository 10.0.2.2:5000/test (1 tags) 

Image 511136ea3c5a already pushed, skipping 

Image 9bad880da3d2 already pushed, skipping 

Image 25f11f5fb0cb already pushed, skipping 

Image ebc34468f71d already pushed, skipping 

Image 2318d26665ef already pushed, skipping 

Image ba5877dc9bec already pushed, skipping 

Pushing tag for rev [ba5877dc9bec] on (http://10.0.2.2:5000/v1/repositories/test/tags/latest] 


curl 查 看 仓库 10.0.2.2: 5000 中 的 镜像 : 


$ curl http://10.0.2.2:5000/v1/search 


("num results": 1, "query": "", "results": [("description": "", "name": "library/test"]]]) 


在 结果 中 可 以 看 到 {"description":"", "name":"library/test"}， 表 明镜 像 已 经 成 功 上 传 了 。 


现在 可 以 到 任意 一 台 能 访问 到 10.0.2.2 地 址 的 机 器 去 下 载 这 个 镜像 了 : 


$ sudo docker pull 10.0.2.2:5000/test 

Pulling repository 10.0.2.2:5000/test 

ba5877dc9bec: Download complete 

511136ea3c5a: Download complete 

9bad880da3d2: Download complete 

25f11f5fb0cb: Download complete 

e€bc34468f71d: Download complete 

2318d26665ef: Download complete 

$ sudo docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
10.0.2.2:5000/test latest ba5877dc9bec 6 days ago 199.3 MB 


下 载 后 ， 还 可 以 添加 一 个 更 通用 的 标签 ubuntu: 14.04: 


$ sudo docker tag 10.0.2.2:5000/test ubuntu:14.04 
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仓库 概念 的 引入 ， 为 Docker 镜 像 文件 的 分 发 和 管理 提供 了 便捷 的 途径 。 


本 章 介绍 的 DockerHub 和 DockerPoo| 两 个 公共 仓库 服务 ， 可 以 方便 个 人 用 户 进 行 镜像 的 下 载 和 使 用 等 操作 。 


在 企业 的 生产 环境 中 ， 则 往往 需要 使 用 私有 仓库 来 维护 内 部 镜像 。 在 本 书 第 二 部 分 的 实战 案例 中 ， 将 介绍 私有 仓库 的 更 多 配置 选项 。 


第 6 章 数据 管理 


在 使 用 Docker 的 过 程 中 ， 往 往 需要 能 查看 容器 内 应 用 产生 的 数据 ， 或 者 需要 把 容器 内 的 数据 进行 备份 ， 甚 至 多 个 容器 之 间 进 行 数 据 的 共享 ， 这 必然 涉及 容器 的 数据 管理 操作 。 


容器 中 管理 数据 主要 有 两 种 方式 : 


- 数据 卷 (Data Volumes) 


- 数据 卷 容器 (Data Volume Dontainers ) 


本 章 将 首先 介绍 如 何在 容器 内 创建 数据 卷 ， 并 且 把 本 地 的 目录 或 文件 挂 载 到 容器 内 的 数据 卷 中 。 接 下 来 ， 会 介绍 如 何 使 用 数据 卷 容器 在 容器 和 主机 、 容 器 和 容器 之 间 共 享 数据 ， 并 实现 数据 的 备份 和 恢 


复 。 


6.1 


数据 卷 


数据 卷 是 一 个 可 供 容器 使 用 的 特殊 目录 ， 它 绕 过 文件 系统 ， 可 以 提供 很 多 有 用 的 特性 : 


“ 数据 卷 可 以 在 容器 之 间 共 享 和 重用 。 


“ 对 数据 卷 的 修改 会 立马 生效 。 


“ 对 数据 卷 的 更 新 ， 不 会 影响 镜像 。 


“ 卷 会 一 直 存 在 ， 直 到 没有 容器 使 用 。 


数据 卷 的 使 用 ， 类 似 于 Linux 下 对 目录 或 文件 进行 mount 操 作 。 


在 容器 内 创建 一 个 数据 卷 


在 


docker run 命 令 的 时 候 ， 使 用 -v 标 记 可 以 在 容器 内 创建 一 个 数据 卷 。 多 次 使 用 -v 标 记 可 以 创建 多 个 数据 卷 。 


下 面 使 用 training/webapp 镜 像 创建 一 个 Web 容 器 ， 并 创建 一 个 数据 卷 挂 载 到 容器 的 /webapp 目 录 : 


$ sudo docker run -d -P --name web -v /webapp training/webapp python app.py 


Qua -P 是 允许 外 部 访问 容器 需要 暴露 的 端口 。 


挂 载 一 个 主机 目录 作为 数据 郑 
使 用 -v 标 记 也 可 以 指定 挂 载 一 个 本 地 的 已 有 目录 到 容器 中 去 作为 数据 卷 : 


$ sudo docker run -d -P --name web -v /src/webapp:/opt/webapp training/webapp python app.py 


上 面 的 命令 加 载 主 机 的 /src/webapp 目 录 到 容器 的 /opt/webapp 目 录 : 


这 个 功能 在 进行 测试 的 时 候 十 分 方便 ， 比 如 用 户 可 以 放置 一 些 程序 或 数据 到 本 地 目录 中 ， 然 后 在 容器 内 运行 和 使 


Docker 挂 载 数据 卷 的 默认 权限 是 读 写 (rw) ， 用 户 也 可 以 通过 ，ro 指 定 为 只 读 : 


。 另 外 ， 本 地 目录 的 路 径 必 须 是 绝对 路 径 ， 如 果 目 录 不 存在 ，Docker 会 自动 创建 。 


$ sudo docker run -d -P --name web -v /src/webapp:/opt/webapp:ro 
training/webapp python app.py 


加 了 : ro 之 后 ， 容 器 内 挂 载 的 数据 卷 的 数据 就 无 法 修改 了 。 


挂 载 一 个 本 地 主机 文件 作为 数据 卷 


-Vv 标 记 也 可 以 从 主机 挂 载 单个 文件 到 容器 中 作为 数据 卷 : 


$ sudo docker run --rm -it -v ~/.bash history:/.bash history ubuntu /bin/bash 


这 样 就 可 以 记录 在 容器 输入 过 的 命令 历史 了 。 


Que “如 果 直 接 挂 载 一 个 文件 到 


在 的 目录 。 


6.2 ”数据 卷 容器 


容器 ， 使 用 文件 编辑 工具 ， 包 括 vi 或 者 sed--in-place 的 时 候 ， 可 能 会 造成 文件 inode 的 改变 ， 从 Docker 1.1.0 起 ， 这 会 导致 报错 误 信息 。 所 以 推荐 的 方式 是 直接 挂 载 文件 所 


如 果 用 户 需要 在 容器 之 间 共 享 一 些 持续 更 新 的 数据 ， 最 简单 的 方式 是 使 用 数据 卷 容器 。 数 据 卷 容器 其 实 就 是 一 个 普通 的 容器 ， 专 门 用 它 提供 数据 卷 供 其 他 容器 挂 载 使 用 方法 如 下 。 


首先 ， 创 建 一 个 数据 卷 容器 dbdata， 并 在 其 中 创建 一 个 数据 卷 挂 载 到 /dbdata : 


$ sudo docker run -it -v /dbdata --name dbdata ubuntu 
root83ed94f279b6f: /1 


查看 /dbdata 目 录 : 


root@3ed94f279b6f:/# ls 
bin boot dbdata dev etc home lib 1lib64 media mnt opt proc root run sbin srv sys tmp usr var 


然后 ， 可 以 在 其 他 容器 中 使 用 --volumes-from 来 挂 载 dbdata 容 器 中 的 数据 卷 ， 例 如 创建 db1 和 db2 两 个 容器 ， 并 从 dbdata 容 器 挂 载 数据 卷 : 


$ sudo docker run -it --volumes-from dbdata --name dbl ubuntu 
$ sudo docker run -it --volumes-from dbdata --name db2 ubuntu 


此 时 ， 容 器 db1 和 db2 都 挂 载 同一 个 数据 卷 到 相同 的 /dbdata 目 录 。 三 个 容器 任何 一 方 在 该 目录 下 的 写 入 ， 其 他 容器 都 可 以 看 到 。 


例如 ， 在 dbdata 容 器 中 创建 一 个 test 文 件 : 


root@3ed94f279b6f:/# cd /dbdata 
root@3ed94f279b6f:/dbdata# touch test 
root@3ed94f279b6f:/dbdata# ls 

test 


在 db1 容 器 内 查看 它 : 


$sudo docker run -it --volumes-from dbdata --name dbl ubuntu 

root84128d2d804b4:/4 ls 

bin boot dbdata dev etc home lib 1lib64 media mnt opt proc root run sbin srv sys tmp usr var 
root84128d2d804b4:/f ls dbdata/ 

test 


可 以 多 次 使 用 --volumes-from 参 数 来 从 多 个 容器 挂 载 多 个 数据 卷 。 还 可 以 从 其 他 已 经 挂 载 了 容器 卷 的 容器 来 挂 载 数据 卷 : 


$ sudo docker run -d --name db3 --volumes-from dbl training/postgres 


加 注意 ”使 用 -volumes-om 参 数 所 挂 载 数 据 卷 的 容器 自身 并 不 需要 保 竺 在 运行 状态 。 


如 果 删 除了 挂 载 的 容器 (包括 dbdata、db1 和 db2) ， 数 据 卷 并 不 会 被 自动 删除 。 如 果 要 删除 一 个 数据 卷 ， 必 须 在 删除 最 后 一 个 还 挂 载 着 它 的 容器 时 显 式 使 用 docker rm-v 命 令 来 指定 同时 删除 关联 的 


容器 。 


使 用 数据 卷 容器 可 以 让 用 户 在 容器 之 间 自 由 地 升级 和 移动 数据 卷 。 具 体 的 操作 将 在 下 一 节 中 进行 讲解 。 


6.3 ”利用 半 居 卷 容器 迁移 数据 


可 以 利用 数据 卷 容器 对 其 中 的 数据 卷 进行 备份 、 恢 复 ， 以 实现 数据 的 迁移 。 


备份 


使 用 下 面 的 命令 来 备份 dbdata 数 据 卷 容器 内 的 数据 卷 : 


$ sudo docker run --volumes-from dbdata -v $(pwd):/backup --name worker ubuntu tar cvf /backup/backup.tar /dbdata 


这 个 命令 稍微 有 点 复杂 ， 具 体 分 析 下 。 


首先 利用 ubuntu 镜像 创建 了 一 个 容器 worker。 使 用 --volumes-from dbdata 参 数 来 让 worker 容 器 挂 载 dbdata 容 器 的 数据 卷 ( 即 dbdata 数 据 卷 ) ; 使 用 -v$ (pwd) : /backup 参 数 来 挂 载 本 地 的 当前 


目录 到 worker 容 器 的 /backup 目 录 。 


worker 容 器 启动 后 ， 使 用 了 tar cvf/backup/backup.tar/dbdata 命 令 来 将 /dbdata 下 内 容 备份 为 容器 内 的 /backup/backup.tar， 即 宿主 主机 当前 


恢复 


如 果 要 恢复 数据 到 一 个 容器 ， 可 以 按照 下 面 的 操作 。 首 先 创建 一 个 带 有 数据 卷 的 容器 dbdata2: 


录 下 的 backup.tar。 


$ sudo docker run -v /dbdata --name dbdata2 ubuntu /bin/bash 


然后 创建 另 一 个 新 的 容器 ， 挂 载 dbdata2 的 容器 ， 并 使 用 untar 解 压 备份 文件 到 所 挂 载 的 容器 卷 中 即 可 : 


$ sudo docker run --volumes-from dbdata2 -v $(pwd):/backup busybox tar xvf 
/backup/backup.tar 
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数据 是 最 宝贵 的 资源 ，Docker 无 疑 为 数据 管理 提供 了 充分 的 支持 。 


本 章 介绍 了 通过 数据 卷 和 数据 卷 容器 对 容器 内 数据 进行 共享 、 备 份 和 恢复 等 操作 ， 通 过 这 些 机 制 ， 即 使 容器 在 运行 中 出 现 故 障 ， 用 户 也 不 必 担 心 数据 发 生 丢失 ， 只 需要 快速 地 重新 创建 容器 即 可 。 


在 生产 环境 中 ， 笔 者 推荐 在 使 用 数据 卷 或 数据 卷 容器 之 外 ， 定 期 将 主机 的 本 地 数据 进行 备份 ， 或 者 使 用 支持 容错 的 存储 系统 ， 包 括 RAID 或 分 布 式 文件 系统 ， 如 Ceph、GPFS、HDFSs 等 。 


第 7 章 “网络 基础 配置 


大 量 的 互联 网 应 用 服务 包括 多 个 服务 组 件 ， 这 往往 需要 多 个 容器 之 间 通 过 网 络 通信 进行 相互 配合 。 


Docker 目 前 提供 了 映射 容器 端口 到 宿主 主机 和 容器 互联 机 制 来 为 容器 提供 网 络 服务 。 


本 章 将 讲解 如 何 使 用 Docker 的 网 络 功能 。 包 括 使 用 端口 映射 机 制 来 将 容器 内 应 用 服务 提供 给 外 部 网 络 ， 以 及 通过 容器 互联 系统 让 多 个 容器 之 间 进 行 快捷 的 网 络 通信 。 


7.1 ”端口 映射 实现 访问 容器 


从 外 部 访问 容器 应 用 


在 启动 容器 的 时 候 ， 如 果 不 指定 对 应 参数 ， 在 容器 外 部 是 无 法 通过 网 络 来 访问 容器 内 的 网 络 应 用 和 服务 的 。 


当 容 器 中 运行 一 些 网 络 应 用 ， 要 让 外 部 访问 这 些 应 用 时 ， 可 以 通过 -P 或 -p 参 数 来 指定 端口 映射 。 当 使 用 -P 标 记 时 ，Docker 会 随机 映射 一 个 49000~49900 的 端口 至 容器 内 部 开放 的 网 络 端 


$ sudo docker run -d -P training/webapp python app.py 

$ sudo docker ps -1 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

bc533791f3f5 training/webapp:latest python app.py 5 seconds ago Up 2 seconds 0.0.0.0:49155-25000/tcp nostalgic morse 


此 时 ， 可 以 使 用 docker ps 看 到 ， 本 地 主机 的 49155 被 映射 到 了 容器 的 5000 端 口 。 访 问 宿主 主机 的 49115 端 口 即 可 访问 容器 内 Web 应 用 提供 的 界面 。 


同样 ， 可 以 通过 docker logs 命 令 来 查看 应 用 的 信息 : 


$ sudo docker logs -f nostalgic morse 

* Running on http://0.0.0.0:5000/ 

10.0.2.2 - - [23/May/2014 20:16:31] "GET / HTTP/1.1" 200 - 

10.0.2.2 - - [23/May/2014 20:16:31] "GET /favicon.ico HTTP/1.1" 404 - 


-p (小 写 的 ) 则 可 以 指定 要 映射 的 端口 ， 并 且 ， 在 一 个 指定 端口 上 只 可 以 绑 定 一 个 容器 。 支 持 的 格式 有 ip: ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort, 


映射 所 有 接口 地 址 


使 用 hostPort: containerPort 格 式 将 本 地 的 5000 端 口 映射 到 容器 的 5000 端 口 ， 可 以 执行 如 下 命令 : 


$ sudo docker run -d -p 5000:5000 training/webapp python app.py 


此 时 默认 会 绑 定 本 地 所 有 接口 上 的 所 有 地 址 。 多 次 使 用 -p 标 记 可 以 绑 定 多 个 端口 。 例 如 : 


$ sudo docker run -d -p 5000:5000 -p 3000:80 training/webapp python app.py 


映射 到 指定 地 址 的 指定 端口 


可 以 使 用 ip:hostPort:containerPort 格 式 指定 映射 使 用 一 个 特定 地 址 ， 比 如 localhost 地 址 127.0.0.1: 


$ sudo docker run -d -p 127.0.0.1:5000:5000 training/webapp python app.py 


映射 到 指定 地 址 的 任意 端口 


使 用 ip::containerPort 绑 定 localhost 的 任意 端口 到 容器 的 5000 端 口 ， 本 地 主机 会 自动 分 配 一 个 端 


$ sudo docker run -d -p 127.0.0.1::5000 training/webapp Python app.py 


还 可 以 使 用 udp 标 记 来 指定 udp 端 口 : 


$ sudo docker run -d -p 127.0.0.1:5000:5000/udp training/webapp python app.py 


查看 映射 端口 配置 


使 用 docker port 来 查看 当前 映射 的 端口 配置 ， 也 可 以 查看 到 绑 定 的 地 址 : 


$ sudo docker port nostalgic morse 5000 
127.0.0.1:49155. 


Que 容器 有 自己 的 内 部 网 络 和 JP 地址 (使 用 dockerinspect+ 容 器 ID 可 以 获取 所 有 的 变量 值 ) 。 


7.2 ”容器 互联 实现 容器 间 通 信 


容器 的 连接 (linking) 系统 是 除了 端口 映射 外 另 一 种 可 以 与 容器 中 应 上 


自 定义 容器 命 


连接 系统 依据 容器 的 名 称 来 执行 。 因 此 ， 首 先 需 要 自 定义 一 个 好 记 的 容器 命 


“ 自 定义 的 命名 ， 比 较 好 记 ， 比 如 一 个 Web 应 用 容器 ， 我 们 可 以 给 


虽然 当 创建 容器 的 时 候 ， 系 统 默 认 会 分 配 一 个 名 字 ， 但 自 定义 命名 容器 有 两 个 好 处 : 


它 起 名 叫 web。 


“ 当 要 连接 其 他 容器 时 候 ， 可 以 作为 一 个 有 用 的 参考 点 ， 比 如 连接 Web 容 器 到 db 容器 。 


使 用 --name 标 记 可 以 为 容器 自 定义 命 


进行 交互 的 方式 。 它 会 在 源 和 接收 容器 之 间 创 建 一 个 隧道 ， 接 收容 器 可 以 看 到 源 容 器 指定 的 信息 。 


$ sudo docker run -d -P --name web training/webapp python app.py 


使 用 docker ps 来 验证 设 定 的 命名 : 


$ sudo docker ps -1 
CONTAINER ID IMAGE COMMAND CREATED STATUS 


PORTS NAMES 


aed84ee21bde training/webapp:latest python app.py 12 hours ago Up 2 seconds 0.0.0.0:49154->5000/tcp web 


也 可 以 使 用 docker inspect 来 查看 容器 的 名 字 : 


$ sudo docker inspect -f "(( .Name }}" aed84ee21bde 
/web 


Qus 容器 的 名 称 是 唯一 的 。 如 果 已 经 命名 了 一 个 叫 web 的 容器 ， 当 你 要 再 次 使 用 web 这 个 名 称 的 时 候 ， 需 要 先 用 docker tm 来 删除 之 前 创建 的 同名 容器 。 


在 执行 docker run 的 时 候 如 果 添 加 --rm 标 记 ， 则 容器 在 终止 后 会 立刻 删除 。 注 意 ，--rm 和 -d 参 数 不 能 同时 使 用 。 


容器 互联 


使 用 --link 参 数 可 以 让 容器 之 间 安 全 的 进行 交互 。 


下 面 先 创建 一 个 新 的 数据 库容 器 : 


$ sudo docker run -d --name db training/postgres 


删除 之 前 创建 的 web 容 器 : 


$ sudo docker rm -f web 


然后 创建 一 个 新 的 web 容 器 ， 并 将 它 连 接 到 db 容器 : 


$ sudo docker run -d -P --name web --link db:db training/webapp python app.py 


此 时 ，db 容 器 和 web 容 器 建立 互联 关系 。 


--link 参 数 的 格式 为 --link name: alias， 其 中 name 是 要 链接 的 容器 的 名 称 ，alias 是 这 个 连接 的 别名 。 


使 用 docker ps 来 查看 容器 的 连接 : 


$ sudo docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS 


PORTS NAMES 


349169744e49 training/postgres:latest su postgres -c '/usr About a minute ago Up About a minute 5432/tcp 


aed84ee21bde training/webapp:latest python app.py 


16 hours ago Up 2 minutes 


db, web/db 


0.0.0.0:49154-55000/tcp web 


可 以 看 到 自 定义 命名 的 容器 : db 和 web，db 容 器 的 names 列 有 db 也 有 web/db。 这 表示 web 容 器 链接 到 db 容器 ， 这 允许 web 容 器 访问 db 容器 的 信息 。 


Docker 在 两 个 互联 的 容器 之 间 创 建 了 一 个 安全 隧道 ， 而 且 不 用 映射 它们 的 端口 到 宿主 主机 上 。 在 | 


Docker 通 过 两 种 方式 为 容器 公开 连接 信息 : 
.环境 变量 。 


: 更 新 /etc/hosts 文 件 。 


使 用 env 命 令 来 查看 web 容 器 的 环境 变量 : 


启动 db 容器 的 时 候 并 没有 使 有 


-p 和 -P 标 记 ， 从 而 避免 了 暴露 数据 库 端口 到 外 部 网 络 上 。 


$ sudo docker run --rm --name web2 --link db:db training/webapp env 


DB NAME-/web2/db 

DB PORT-tcp://172.17.0.5:5432 

DB PORT 5000 TCP-tcp://172.17.0.5:5432 
DB PORT 5000 TCP PROTO-tcp 

DB PORT 5000 TCP PORT-5432 

DB PORT 5000 TCP ADDR-172.17.0.5 


其 中 DB 开头 的 环境 变量 是 供 web 容 器 连接 db 容器 使 用 ， 前 缀 采 上 


大 写 的 连接 别名 。 


除了 环境 变量 ，Docker 还 添加 host 信 息 到 父 容器 的 /etc/hosts 的 文件 。 下 面 是 父 容器 web 的 hosts 文 件 : 


$ sudo docker run -t -i --rm --link db:db training/webapp /bin/bash 
root8aed84ee21bde:/opt/webappf cat /etc/hosts 
172.17.0.7  aed84ee21bde 


172.17.0.5 db 


这 里 有 两 个 hosts 信 息 ， 第 一 个 是 web 容 器 ，web 容 器 用 自己 的 id 作为 默认 主机 名 ， 第 二 个 是 db 容器 的 ip 和 主机 名 。 可 以 在 web 容 器 中 安装 ping 命 令 来 测试 跟 db 容器 的 连通 : 


root8aed84ee21bde:/opt/webappf apt-get install -yqq inetutils-ping 
root8aed84ee21bde:/opt/webappf ping db 

PING db (172.17.0.5): 48 data bytes 

56 bytes from 172.17.0.5: icmp seq-0 ttl-64 time-0.267 ms 

56 bytes from 172.17.0.5: icmp seq=1 ttl-64 time-0.250 ms 

56 bytes from 172.17.0.5: icmp seq-2 ttl-64 time-0.256 ms 


ping 来 测试 db 容器 ， 它 会 解析 成 172.17.0.5。 注 意 ， 官 方 的 ubuntu 12.04 镜 像 默 认 没 有 安装 ping， 需 要 自行 安装 。 


户 可 以 链接 多 个 子 容器 到 父 容器 ， 比 如 可 以 链接 多 个 web 到 db 容器 上 。 


73 “本章 小 结 


络 是 云 时 代 最 核心 也 是 最 复杂 的 系统 之 一 。 本 章 通过 具体 案例 讲解 了 Docker 涉 及 网 络 的 基本 操作 ， 包 括 基础 的 容器 端口 映射 机 制 和 容器 互联 机 制 。Docker 目 前 采用 了 Linux 系 统 自 带 的 网 络 系统 来 实 
现 对 网 络 服务 的 支持 ， 这 既 可 以 利用 现 有 成 熟 的 技术 提供 稳定 支持 ， 又 可 以 实现 快速 的 高 性 能 转发 。 


在 生产 环境 中 ， 网 络 方面 的 需求 更 加 复杂 和 多 变 ， 这 时 候 往往 就 需要 引入 额外 的 机 制 ， 例 如 SDN (软件 定义 网 络 ) 或 NFV (网 络 功能 虚拟 化 ) 的 相关 技术 。 本 书 的 第 三 部 分 将 进一步 探讨 Docker 网 络 的 
高 级 配置 和 实现 细节 。 


第 8 章 ”使 用 Dockerfile 创 建 镜像 


Dockerfile 是 一 个 文本 格式 的 配置 文件 ， 用 户 可 以 使 用 Dockerfile 快 速 创建 自 定义 的 镜像 。 


本 章 首先 将 介绍 Dockerfile 典 型 的 基本 结构 及 其 支持 的 众多 指令 ， 并 具体 讲解 通过 这 些 指令 来 编写 定制 镜像 的 Dockerfile。 


最 后 ， 会 介绍 使 用 Dockerfile 创 建 镜像 的 过 程 。 


8. 基本 结构 


Dockerfile 由 一 行 行 命令 语句 组 成 ， 并 且 支 持 以 # 开 头 的 注释 行 。 


一 般 而 言 ，Dockerfile 分 为 四 部 分 : 基础 镜像 信息 、 维 护 者 信息 、 镜 像 操 作 指 令 和 容器 启动 时 执行 指令 。 例 如 : 


This dockerfile uses the ubuntu image 

VERSION 2 - EDITION 1 

Author: docker user 

Command format: Instruction [arguments / command] http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/.. 
第 一 行 必须 指定 基于 的 基础 镜像 B 
FROM ubuntu 

* 维护 者 信息 

MAINTAINER docker user docker userQ@email .com 

* 镜像 的 操作 指令 B 

RUN echo "deb http://archive.ubuntu.com/ubuntu/ raring main universe" »» /etc/apt/sources.list 

RUN apt-get update && apt-get install -y nginx 

RUN echo "WAndaemon off;" >> /etc/nginx/nginx.conf 

# 容器 启动 时 执行 指令 

CMD /usr/sbin/nginx 


dGE GE GE GE 


其 中 ， 一 开始 必须 指明 所 基于 的 镜像 名 称 ， 接 下 来 一 般 会 说 明 维 护 者 信息 。 


后 面 则 是 镜像 操作 指令 ， 例 如 RUN 指 令 ，RUN 指 令 将 对 镜像 执行 跟随 的 命令 。 每 运行 一 条 RUN 指 令 ， 镜 像 添 加 新 的 一 层 ， 并 提交 。 最 后 是 CMD 指 令 ， 来 指定 运行 容器 时 的 操作 命令 。 


下 面 是 两 个 Dockerhub 上 的 Dockerfile 的 例子 ， 读 者 可 以 对 Dockerfile 结 构 有 个 基本 的 感知 。 


第 一 个 是 在 ubuntu 父 镜像 基础 上 安装 inotify-tools、nginx、apache2、openssh-server 等 软件 ， 从 而 创建 一 个 新 的 Nginx 镜 像 : 


# Nginx 


# VERSION 0.0.1 

FROM ubuntu 

MAINTAINER Victor Vieux «victor68docker.com» 

RUN apt-get update && apt-get install -y inotify-tools nginx apache2 openssh-server 


第 二 个 也 是 基于 ubuntu 父 镜像 ， 安 装 firefox 和 vnc 软 件 ， 启 动 后 ， 用 户 可 以 通过 5900 端 口 通过 vnc 方 式 使 用 firefox : 


# Firefox over VNC 


# 

# VERSION 0.3 

FROM ubuntu 

# Install vnc, xvfb in order to create a 'fake' display and firefox 
RUN apt-get update && apt-get install -y xllvnc xvfb firefox 

RUN mkdir /.vnc 

# Setup a password 

RUN xllvnc -storepasswd 1234 -/.vnc/passwd 

# Autostart firefox (might not be the best way, but it does the trick) 
RUN bash -c 'echo "firefox" >> /.bashrc' 

EXPOSE 5900 


CMD ["xllvnc", "-forever", "-usepw", "-create"] 


82 指令 


指令 的 一 般 格式 为 INSTRUCTION arguments， 指 令 包括 FROM、MAINTAINER、RUN 等 。 下 面 分 别 介绍 。 


1.FROM 


格式 为 FROM <image> 或 FROM <image>: <tag>。 


第 一 条 指令 必须 为 FROM 指令 。 并 且 ， 如 果 在 同一 个 Dockerfile 中 创建 多 个 镜像 时 ， 可 以 使 用 多 个 FROM 指令 (每 个 镜像 一 次 ) 。 


2.MAINTAINER 
格式 为 MAINTAINER<name> ， 指 定 维护 者 信息 。 
3.RUN 


格式 为 RUN<command> 或 RUN["executable","param1","param2"]。 


前 者 将 在 shell 终 端 中 运行 命令 ， 即 /bin/sh-c; 后 者 则 使 用 exec 执 行 。 指 定 使 用 其 他 终端 可 以 通过 第 二 种 方式 实现 ， 例 如 RUN["/bin/bash","-c","echo hello"]。 


每 条 RUN 指 令 将 在 当前 镜像 基础 上 执行 指定 命令 ， 并 提交 为 新 的 镜像 。 当 命令 较 长 时 可 以 使 用 \ 来 换行 。 


4.CMD 

支持 三 种 格式 : 
* CMDl"executable","param1","param2"] 使 用 exec 执 行 ， 推 荐 方式 。 
: CMDcommand param1 param2 在 /bin/sh 中 执行 ， 提 供给 需要 交互 的 应 用 。 
“CMD["param1","param2"] 提 供给 ENTRYPOINT 的 默认 参数 。 


指定 启动 容器 时 执行 的 命令 ， 每 个 Dockerfile 只 能 有 一 条 CMD 命 令 。 如 果 指定 了 多 条 命令 ， 只 有 最 后 一 条 会 被 执行 。 


如 果 用 户 启动 容器 时 候 指定 了 运行 的 命令 ， 则 会 覆盖 掉 CMD 指 定 的 命令 。 


5.EXPOSE 


格式 为 EXPOSE<port>[<port>http://www.hzcourse.comy/resource/readBook?path=/openresources/teach_ebook/uncompressed/15029/OEBPSVText/…]。 
例如 : 


EXPOSE 22 80 8443 


告诉 Docker 服 务 端 容器 暴露 的 端口 号 ， 供 互联 系统 使 用 。 在 启动 容器 时 需要 通过 -P，Docker 主 机 会 自动 分 配 一 个 端口 转发 到 指定 的 端口 ;使 用 -p， 则 可 以 具体 指定 哪个 本 地 端口 映射 过 来 。 


6.ENV 


格式 为 ENV<key> <value> 。 指 定 一 个 环境 变量 ， 会 被 后 续 RUN 指 令 使 用 ， 并 在 容器 运行 时 保持 。 例 如 : 


ENV PG MAJOR 9.3 

ENV PG VERSION 9.3.4 

RUN curl -SL http://example.com/postgres-$PG VERSION.tar.xz | tar -xJC /usr/src/postgress && .. 
ENV PATH /usr/local/postgres-$PG MAJOR/bin:$PATH 


7.ADD 


格式 为 ADD<src> «dest» , 


该 命令 将 复制 指定 的 <src> 到 容器 中 的 <dest>。 其 中 <src> 可 以 是 Dockerfile 所 在 目录 的 一 个 相对 路 径 (文件 或 目录 ) ; 也 可 以 是 一 个 URL; 还 可 以 是 一 个 tar 文 件 (自动 解压 为 目录 ) 。 


8.COPY 
格式 为 COPY<src> «dest», 


复制 本 地 主机 的 <src> (为 Dockerfile 所 在 目录 的 相对 路 径 ， 文 件 或 目录 ) 为 容器 中 的 <dest>。 目 标 路 径 不 存在 时 ， 会 自动 创建 。 


当 使 用 本 地 目录 为 源 目录 时 ， 推 荐 使 用 COPY。 


9.ENTRYPOINT 

有 两 种 格式 : 

ENTRYPOINT['executable","param1", "param2"] 
ENTRYPOINTcommand param1 param2 (shell 中 执行 ) 。 


配置 容器 启动 后 执行 的 命令 ， 并 且 不 可 被 docker run 提 供 的 参数 覆盖 。 


每 个 Dockerfile 中 只 能 有 一 个 ENTRYPOINT， 当 指定 多 个 ENTRYPOINT 时 ， 只 有 最 后 一 个 生效 。 


10.VOLUME 


格式 为 VOLUME["/data"]。 


创建 一 个 可 以 从 本 地 主机 或 其 他 容器 挂 载 的 挂 载 点 ， 一 般 用 来 存放 数据 库 和 需要 保持 的 数据 等 。 


11.USER 


格式 为 USER daemon。 


指定 运行 容器 时 的 用 户 名 或 UID， 后 续 的 RUN 也 会 使 用 指定 用 户 。 


当 服 务 不 需要 管理 员 权 限时 ， 可 以 通过 该 命令 指定 运行 用 户 。 并 且 可 以 在 之 前 创建 所 需要 的 用 户 ， 例 如 : RUN groupadd-r postgres&&useradd-r-g postgres postgres。 要 临时 获取 管理 员 权 限 可 以 
使 用 gosu， 而 不 推荐 sudo。 


12.WORKDIR 


格式 为 NORKDIR/path/to/workdir。 


为 后 续 的 RUN、CMD、ENTRYPOINT 指 令 配置 工作 目录 。 


可 以 使 用 多 个 WORKDIR 指 令 ， 后 续 命令 如 果 参 数 是 相对 路 径 ， 则 会 基于 之 前 命令 指定 的 路 径 。 例 如 : 


WORKDIR /a 
WORKDIR b 
WORKDIR c 
RUN pwd 


则 最 终 路 径 为 /a/b/c。 
13.ONBUILD 


格式 为 ONBUILD[INSTRUCTION]。 


配置 当 所 创建 的 镜像 作为 其 他 新 创建 镜像 的 基础 镜像 时 ， 所 执行 的 操作 指令 。 例 如 ，Dockerfile 使 用 如 下 的 内 容 创建 了 镜像 image-A。 


[http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/...] 
ONBUILD ADD . /app/src T 

ONBUILD RUN /usr/local/bin/python-build --dir /app/src 
[http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/...] 


如 果 基 于 image-A 创 建新 的 镜像 时 ， 新 的 Dockerfile 中 使 用 FROM image-A 指 定 基础 镜像 时 ， 会 自动 执行 ONBUILD 指 令 内 容 ， 等 价 于 在 后 面 添加 了 两 条 指令 。 


FROM image-A 

$Automatically run the following 

ADD . /app/src 

RUN /usr/local/bin/python-build --dir /app/src 


使 用 ONBUILD 指 令 的 镜像 ， 推 荐 在 标签 中 注 明 ， 例 如 ruby: 1.9-onbuild。 


83 “创建 镜像 


编写 完成 Dockerfile 之 后 ， 可 以 通过 docker build 命 令 来 创建 镜像 。 


基本 的 格式 为 docker build[ 选 项 ] 路 径 ， 该 命令 将 读 取 指定 路 径 下 (包括 子 目录 ) 的 Dockerfile， 并 将 该 路 径 下 所 有 内 容 发 送 给 Docker 服 务 端 ， 由 服务 端 来 创建 镜像 。 因 此 一 般 建议 放置 Dockerfile 的 目 
录 为 空 目录 。 


另外 ， 可 以 通过 .dockerignore 文 件 (每 一 行 添加 一 条 匹配 模式 ) 来 让 Docker 忽 略 路 径 下 的 目录 和 文件 。 


要 指定 镜像 的 标签 信息 ， 可 以 通过 -t 选 项 。 


例如 ， 指 定 Dockerfile 所 在 路 径 为 /tmpy/docker_builder/， 并 且 希 望 生成 镜像 标签 为 build_repoyfirst image， 可 以 使 用 下 面 的 命令 : 


$ sudo docker build -t build repo/first image /tmp/docker builder/ 


84 本章 小 结 


本 章 主要 介绍 围绕 Dockerfile 配 置 文件 的 重要 概念 ， 包 括 基本 结构 、 所 支持 的 内 部 指令 ， 以 及 使 用 它 创建 镜像 的 基本 过 程 。 在 使 用 Dockerfile 配 置 文件 的 过 程 中 ， 读 者 能 体会 到 Docker “一 点 修改 代替 
大 量 更 新 ”的 灵活 之 处 。 


当然 ， 如 何 编写 一 个 高 质量 的 Dockerfile 并 不 是 一 件 容易 的 事情 ，DockerHub 和 DockerPool 社 区 都 提供 了 大 量 的 Dockerfile 范 例 供 大 家 参考 。 在 本 书 的 第 二 部 分 中 ， 笔 者 也 给 出 了 大 量 热门 镜像 的 
Dockerfile 的 介绍 和 使 用 方法 。 


RIF 操作 系统 


“ 第 10 章 ”创建 支持 SSH 服 务 的 镜像 
“ 第 11 章 Web 服 务 器 与 应 用 

“第 12 章 ”数据库 应 用 

“ 第 13 章 ”编程 语言 

“第 14 章 使 用 私有 仓库 

“第 15 章 ”构建 Docker 容 器 集群 

- B16% ”在 公有 云 上 使 用 Docker 
“ 第 17 章 Docker 实 践 之 道 


实战 是 检验 技术 的 唯一 标准 。 


通过 第 一 部 分 的 学 习 ， 读 者 应 该 掌握 了 Docker 的 核心 概念 和 常用 操作 。 


任 第 二 部 分 中 ， 笔 者 将 展示 大 量 的 Docker 应 用 案例 ， 更 加 深入 地 展示 Docker 技 术 如 何在 生产 环境 中 进行 应 用 。 


第 9 章 介绍 通过 Docker 来 运行 典型 的 操作 系统 环境 ， 包 括 BusyBox、Debian/Ubuntu、CentOS、Fedora， 以 及 基于 Docker 的 特色 操作 系统 CoreOS。 


第 10 章 介绍 如 何 为 一 个 镜像 添加 SSH 服 务 的 支持 ， 以 及 探讨 访问 容器 内 部 的 合理 方案 。 


第 11 章 介绍 利用 Docker 来 提供 典型 的 Web 服 务 ， 包 括 Apache、Nginx、Tomcat、Weblogic、LAMP、CMS 等 流行 的 Web 解 决 方案 。 


第 12 章 通过 MySQL、Oracle XE 和 MongoDB 等 典型 例子 ， 展 示 在 Docker 中 运行 常见 的 SQL 和 NoSQL 数 据 库 软 件 。 


编程 开发 也 可 以 从 Docker 中 获得 方便 。 第 13 章 将 介绍 流行 的 编程 语言 ， 包 括 C/C++、Java、PHP、Python、Perl、Ruby、JavaScript、Go 等 ， 以 及 如 何 用 Docker 来 快速 构建 相应 的 编程 环境 。 


第 14 章 具体 介绍 使 用 docker-registry 创 建 和 使 用 私有 仓库 的 更 多 技术 细节 。 


第 15 章 探讨 利用 Docker 创 建 容器 集群 要 解决 的 核心 问题 和 可 行 方案 。 


lm 


接 下 来 ， 会 以 国内 的 阿里 云 为 例 ， 讲 解 在 公有 云 平台 部 署 Docker 的 过 程 和 一 些 特 色 服务 。 


最 后 ， 结 合 Docker， 对 个 人 学 习 、 技 术 创业 以 及 企业 的 生产 实践 中 的 常见 需求 和 问题 进行 探讨 。 


通过 第 二 部 分 的 实战 案例 学 习 ， 读 者 可 以 在 实际 的 工作 、 生 产 环境 中 更 加 高 效 地 使 用 Docker。 


第 9 章 ”操作 系统 


目前 最 常用 的 Linux 发 行 版 包括 Ubuntu 系列 和 CentOS 系 列 。 


前 者 以 自 带 软件 包 版 本 较 新 而 出 名 ; 后 者 则 宣称 运行 更 稳定 一 些 。 选 择 哪个 操作 系统 取决 于 读者 的 具体 需求 。 同 时 ， 社 区 还 推出 了 完全 基于 Docker 的 Linux 发 行 版 CoreOS。 


使 用 Docker， 读 者 只 需要 一 个 命令 就 能 得 到 Linux 发 行 版 的 Docker 镜 像 ， 这 是 以 往 包括 各 种 虚拟 化 技术 都 难以 实现 的 。 虽 然 Docker 的 镜像 一 般 都 很 精简 ， 但 是 它 几 乎 可 以 实现 所 有 的 Linux 服 务 器 系统 


能 实现 的 功能 。 
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Android) 、Hurd、FreeBSD 等 。 


本 章 将 介绍 如 何 使 用 Docker 安 装 和 使 用 Busybox、Debian/Ubuntu、CentOS/Fedora、CoreOS 等 操作 系统 。 


Busybox 


BusyBox 是 一 个 集成 了 一 百 多 个 最 常用 Linux 命 令 和 工具 的 软件 工具 箱 ， 它 在 单一 的 可 执行 文件 中 提供 了 精简 的 Unix 工 具 集 。BusyBox 可 运行 于 多 款 POSIX 环 境 的 操作 系统 中 ， 如 Linux (包括 


BusyBox 既 包含 了 一 些 简单 实用 的 工具 ， 如 cat 和 echo， 也 包含 了 一 些 更 大 、 更 复杂 的 工具 ， 如 grep、find、mount 以 及 telnet。 可 以 说 ，BusyBox 是 Linux 系 统 的 瑞士 军刀 。 


在 DockerHub 中 搜索 Busybox 相 关 的 镜像 。 


$ sudo docker search busybox 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

busybox Busybox base image. 83 [OK] 

progrium/busybox 12 [OK] 

lgsd/diamond Diamond is the smallest lightweight Dockerhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 6 
maxexcloo/data Docker base image with /data defined as a http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 4 
centurylink/ngrok A Docker image for ngrok, introspected tunhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 2 
virtuald/nsq Automated build for NSQ using busybox + ofhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 1 


Skomma/busybox-data Docker image suitable for data volume conthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/...1 
peer60/newrelic-sysmond ^ NewRelic monitoring in a docker image. Bashttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
onsi/grace-busybox L 


radial/busyboxplus Full-chain, Internet enabled, busybox madehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 1 
marcuslinke/busybox 0 

yungsang/busybox https://github.com/jpetazzo/docker-busybox 0 

abashek/busybox Me privat busybox 0 

flynn/busybox Busybox from Ubuntu 13.10 with libc 0 

microcloud/busybox-fs 0 [OK] 

alars/busybox-go-webapp [OK] 

dlacewell/busybox 0 


opensvc/busybox Derived from busybox, with an infitine loohttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/O0EBPS/Text/... 0 


jbeda/busybox A version of busybox with netcat installed. 
jpetazzo/busybox 
papa99do/busybox 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


ooo 


读者 可 以 看 到 最 受 欢迎 的 镜像 同时 带 有 officel 标 记 ， 说 明 它 是 官方 镜像 。 


下 面 使 用 docker pull 命 令 下 载 这 个 镜像 : 


$ sudo docker pull busybox 

busybox:latest: The image you are pulling has been verified 
e433a6c5b276: Pull complete 

e72ac664f4f0: Pull complete 

511136ea3c5a: Pull complete 

df7546£9f060: Pull complete 

Status: Downloaded newer image for busybox:latest 


如 果 不 指定 标签 信息 ， 则 Docker 会 下 载 最 新 版 本 的 Busybox 镜 像 ， 可 以 看 到 Busybox 镜 像 十 分 精巧 ， 只 有 2.433MB。 


$ sudo docker images 

REPOSITORY TAG IMAGE I CREATED VIRTUAL SIZE 

busybox latest e72ac664f4f0 6 weeks ago 2.433 MB 

http://www .hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


运行 Busybox 


启动 一 个 Busybox 容 器 ， 并 在 容器 中 执行 grep 命 令 。 


$ sudo docker run -it busybox 

/ * grep 

BusyBox v1.22.1 (2014-05-22 23:22:11 UTC) multi-call binary. 

Usage: grep [-HhnlLoqvsriwFE] [-m N] [-A/B/C N] PATTERN/-e PATTERNhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/.../-f 
Search for PATTERN in FILEs (or stdin) 


-H Add 'filename:' prefix 

-h Do not add 'filename:' prefix 

c Add 'line no:' prefix 

E Show only names of files that match 

-L Show only names of files that don't match 
= Show only count of matching lines 

= Show only the matching part of line 

-q Quiet. Return 0 if PATTERN is found, 1 otherwise 
=y Select non-matching lines 

-s Suppress open and read errors 

sp Recurse 

-i Ignore case 

-w Match whole words only 

-x Match whole lines only 

-F PATTERN is a literal (not regexp) 

-E PATTERN is an extended regexp 

-m N Match up to N times per file 

-A N Print N lines of trailing context 

-B N Print N lines of leading context 

-C N Same as '-A N -B N' 


-e PTRN Pattern to match 
-f FILE Read pattern from file 


查看 容器 内 的 挂 载 信 息 。 


/ * mount 

rootfs on / type rootfs (rw) 

none on / type aufs (rw, relatime, si-b455817946f8505c) 

proc on /proc type proc (rw, nosuid, nodev, noexec, relatime) 

tmpfs on /dev type tmpfs (rw, nosuid, mode-755) 

shm on /dev/shm type tmpfs (rw, nosuid, nodev, noexec, relatime, size-65536k) 

devpts on /dev/pts type devpts (rw, nosuid, noexec, relatime, gid-5, mode-620, ptmxmode-666) 

sysfs on /sys type sysfs (ro, nosuid, nodev, noexec, relatime) 

/dev/disk/by-uuid/blf2dba7-d91b-4165-a377-bfla8bed3f61 on /etc/resolv.conf type ext4 (rw, relatime, errors-remount-ro, data-ordered) 
/dev/disk/by-uuid/blf2dba7-d91b-4165-a377-bfla8bed3f61 on /etc/hostname type ext4 (rw, relatime, errors-remount-ro, data-ordered) 
/dev/disk/by-uuid/blf2dba7-d91b-4165-a377-bfla8bed3f61 on /etc/hosts type ext4 (rw, relatime, errors-remount-ro, data-ordered) 
devpts on /dev/console type devpts (rw, nosuid, noexec, relatime, gid-5, mode-620, ptmxmode-000) 

proc on /proc/sys type proc (ro. nosuid, nodev, noexec, relatime) 

proc on /proc/sysrq-trigger type proc (ro. nosuid, nodev, noexec, relatime) 

proc on /proc/irq type proc (ro. nosuid, nodev, noexec, relatime) 

proc on /proc/bus type proc (ro, nosuid, nodev, noexec, relatime) 

tmpfs on /proc/kcore type tmpfs (rw, nosuid, mode-755) 


Busybox 镜 像 虽 然 小 巧 ， 但 提供 了 常见 的 Linux 命 令 ， 读 者 可 以 用 它 快 速 熟 悉 Linux 命 令 。 


9.2 Debian/Ubuntu 


Debian 和 Ubuntu 都 是 目前 较为 流行 的 Debian 系 的 服务 器 操作 系统 ， 在 Docker Hub 上 都 可 以 直接 搜索 到 官方 版 本 。 


搜索 Debian 


$ sudo docker search debian 

NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

debian (Semi) Official Debian base image. 199 [OK] 

google/debian 19 [OK] 

tianon/debian use "debian" instead - https://index.dockehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 14 
eboraas/apache-php PHP5 on Apache (with SSL support), built ohttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 6 
toke/owncloud7 Basic image with Owncloud 7 from debian pahttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/O0EBPS/Text/... 5 
yesnault/docker-phabricator Debian Jessie / Apache 2 / Mysql / Phabrichttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/. 
hanswesterbeek/google-debian-oracle-jdk Oracle's JDK installed on top of 


Google's http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 4 
eddelbuettel/docker-debian-r 4 [OK] 
maxexcloo/java Docker framework container with the Oraclehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/O0EBPS/Text/... 4 
eboraas/apache Apache (with SSL support), built on Debian 4 [OK] 
搜索 Ubuntu 


Ubuntu 相关 的 镜像 有 很 多 ， 因 此 这 里 使 用 “-s” 参 数 ， 只 搜索 那些 被 收藏 10 次 以 上 的 镜像 。 


$ sudo docker search -s 10 ubuntu 

NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

ubuntu Official Ubuntu base image 840 [OK] 

dockerfile/ubuntu Trusted automated Ubuntu (http: //www.ubunthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
crashsystems/gitlab-docker A trusted, regularly updated build of GitLhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text./ . 
sylvainlasnier/memcached This is a Memcached 1.4.14 docker images bhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


ubuntu-upstart Upstart is an event-based replacement for http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 16 
mbentley/ubuntu-django-uwsgi-nginx 16 [OK] 

ansible/ubuntul4.04-ansible Ubuntu 14.04 LTS with ansible T5 [OK] 

clue/ttrss The Tiny Tiny RSS feed reader allows you thttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 14 
dockerfile/ubuntu-desktop Trusted automated Ubuntu Desktop (LXDE) (hhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
tutum/ubuntu Ubuntu image with SSH access. For the roothttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 12 


根据 搜索 出 来 的 结果 ， 用 户 可 以 自行 选择 下 载 镜像 并 使 用 。 


下 面 就 以 Ubuntu 14.04 为 例 ， 让 我 们 进去 一 个 Docker 版 的 Ubuntu: 14.04 操 作 系统 来 体验 一 番 吧 ! 


使 用 -ti 参数 进入 ， 查 看 Ubuntu 的 版 本 号 : 


$ sudo docker run -ti ubuntu:14.04 /bin/bash 
root@7d93de07bf76:/# lsb release -a 

No LSB modules are available. 

Distributor ID: Ubuntu 


Description: Ubuntu 14.04.1 LTS 
Release: 14.04 
Codename: trusty 


当 我 们 试图 安装 一 个 curl 软 件 的 时 候 ， 会 提示 E: Unable to locate package curl。 因 为 ，Docker 镜 像 为 了 精简 镜像 容量 ， 默 认 删 除了 这 些 信息 ， 需 要 我 们 使 用 apt-get update 命 令 来 更 新 一 次 ， 读 者 
也 可 以 自己 编辑 /etc/apt/sources.list 文 件 ， 将 默认 的 软件 源 改 为 国内 的 源 : 


root@7d93de07bf76:/# apt-get install curl 

Reading package listshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... Done 
Building dependency tree 

Reading state informationhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... Done 
E: Unable to locate package curl 


更 新 完 之 后 就 可 以 安装 软件 了 : 


root87d93de07bf76:/4 apt-get update 
Ign http://archive.ubuntu.com trusty InRelease 
Ign http://archive.ubuntu.com trusty-updates InRelease 
Ign http://archive.ubuntu.com trusty-security InRelease 
Ign http://archive.ubuntu.com trusty-proposed InRelease 
Get:1 http://archive.ubuntu.com trusty Release.gpg [933 B] 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
root67d93de07bf76:/* apt-get install curl Hi 
Reading package listshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... Done 
Building dependency tree u 
Reading state informationhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... Done 
The following extra packages will be installed: 
ca-certificates krb5-locales libasnl-8-heimdal libcurl3 libgssapi-krb5-2 
libgssapi3-heimdal libhcrypto4-heimdal libheimbasel-heimdal 
libheimntlmO0-heimdal libhx509-5-heimdal libidnll libk5crypto3 libkeyutilsl 
libkrb5-26-heimdal libkrb5-3 libkrb5support0 libldap-2.4-2 
librokenl8-heimdal librtmp0 libsasl2-2 libsasl2-modules libsasl2-modules-db 
libwindO0-heimdal openssl 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
root@7d93de07bf76:/# curl B 
curl: try 'curl --help' or 'curl --manual' for more information 


接 下 来 ， 让 我 们 在 这 个 镜像 里 面 再 安装 一 个 Apache 服 务 : 


root87d93de07bf76:/4 apt-get install apache2 
Reading package listshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... Done 
Building dependency tree ui 
Reading state informationhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... Done 
The following extra packages will be installed: E 

apache2-bin apache2-data libaprl libaprutill libaprutill-dbd-sqlite3 

libaprutill-ldap libxml2 sgml-base ssl-cert xml-core 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


启动 这 个 Apache 服 务 ， 然 后 使 用 curl 来 测试 本 地 访问 : 


root@7d93de07bf76:/# service apache2 start 


* Starting web server apache2 AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 172.17.0.2. Set the 'ServerName' directive global 
* 


root@7d93de07bf76:/# curl 127.0.0.1 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtmll/DTD/xhtmll-transitional.dtd"» 
«html xmlns-"http://www.wW3.org/1999/xhtml"» 
p 
Modified from the Debian original for Ubuntu 
Last updated: 2014-03-19 
See: https: //launchpad.net/bugs/1288690 
--> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> 
<title>Apache2 Ubuntu Default Page: It works</title> 
<style type="text/css" media="screen"> 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


那么 ， 我 如 何 才能 从 容器 以 外 的 设备 来 访问 的 Apache 服 务 呢 ? 


答案 是 : 如 果 以 -ti 参数 启动 容器 ， 是 无 法 让 外 部 的 设备 来 访问 的 ， 如 果 要 允许 外 部 设备 来 访问 容器 的 话 ， 询 
建 ， 我 们 在 稍 后 第 11 章 “Web 服务 器 与 应 用 ”有 详细 介绍 。 


要 使 用 -p 参 数 对 外 映射 端口 。 它 通常 搭配 -d-v 等 参数 一 起 使 用 ， 具 体 的 Apache 容 器 的 创 


使 用 -ti 参数 启动 的 容器 ， 更 适合 作为 测试 、 学 习 使 用 ， 实 际 应 用 中 应 用 的 反而 较 少 。 在 本 书 的 下 一 章 将 会 介绍 如 何 创建 一 个 带 SSH 服 务 的 容器 帮助 我 们 以 更 加 熟悉 的 方式 进入 容器 。 


9.3 CentOS/Fedora 


CentOS 和 Fedora 都 是 基于 Redhat 的 Linux 发 行 版 。 前 者 以 兼容 Redhat 软 件 而 出 名 ，CentOS 是 企业 级 服务 器 的 常用 选 型 ;后 者 则 主要 面向 个 人 用 户 。 


搜索 CentOS 


$ sudo docker search -s 2 centos 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

centos The official build of CentOS. 542 [OK] 

tianon/centos CentOS 5 and 6, created using rinse insteahttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 28 
ansible/centos7-ansible Ansible on Centos?7 13 [OK] T 

blalor/centos Bare-bones base CentOS 6.5 image T [OK] 

saltstack/centos-6-minimal 7 [OK] 

steeef/graphite-centos CentOS 6.x with Graphite and Carbon via nghttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 
ariya/centos6-teamcity-server  TeamCity Server 8.1 on CentOS 6 6 [OK] T 

tutum/centos-6.4 DEPRECATED. Use tutum/centos:6.4 instead. http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
tutum/centos Centos image with SSH access. For the roothttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


对 最 新 的 CentOS7 感 兴趣 的 读者 ， 只 需 一 个 命令 就 可 以 在 Docker 中 来 体验 CentOS7 的 魅力 了 。 


搜索 Fedora 


首先 改 用 docker search 命 令 来 搜索 标 星 至 少 为 2 的 fedora 相 关 镜 像 ， 结 果 如 下 : 


$ sudo docker search -s 2 fedora 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 

fedora (Semi) Official Fedora base image. 84 [OK] 

mattdm/fedora A basic Fedora image corresponding roughlyhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 
fedora/apache 27 OK 

fedora/couchdb 22 OK 

fedora/mariadb 22 OK 

fedora/redis 19 OK 

fedora/nginx 19 OK 

fedora/python 18 OK 

fedora/qpid 18 OK 

fedora/rabbitmq 18 OK 

fedora/registry 18 OK 

fedora/memcached 18 [OK] 

fedora/earthquake 17 [OK] 

fedora/systemd-systemd 17 [OK] 

fedora/firefox 16 OK 

fedora/ssh 16 OK 

fedora/nodejs 15 OK 

mattdm/fedora-small A small Fedora image on which to build. Cohttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 
fedora/systemd-apache 5 [OK] 
helber/fedora-small 2 


tutum/fedora-20 DEPRECATED. Use tutum/fedora:20 or tutum/fhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


根据 搜索 出 来 的 结果 ， 读 者 可 以 自行 选择 下 载 镜像 并 使 用 。 


9.4 CoreOS 


CoreOS 是 一 个 基于 Docker 的 Linux 发 行 版 ， 官 方 介绍 了 若干 安装 方法 ， 笔 者 推荐 初学 者 使 用 VMware Workstation 来 运行 CoreOS。 


使 用 官方 镜像 


第 一 步 ， 从 官方 网 站 下 载 CoreOS 镜 像 ， 地 址 为 http://alpha.release.core-os.net/amd64-usYcurrent/coreos_production_ vmware insecure.zip。 如 果 读 者 遇 到 无 法 下 载 此 镜像 包 的 情况 ， 则 可 以 前 
往 http://dockerpool.com 下 载 。 


如 果 读者 已 经 安装 VMware Workstation， 则 解压 镜像 包 后 双击 vmx 文 件 ， 如 图 9-1 所 示 。 


. 5B4di5ee-81 db-aeac-5£80-5T £be3081 da5. vmem. lek 
—. eoreos production vmware insecure. wmx. leck 

L. eoreos production vmware insecure image. vmdk. lek 
, , SB4di5ee-81 db-aeac-5£380-57 £be30981 da5. vmem 


-| eoreos production vmware insecure.vmsd 


ud coreos production vmware insecure. vmx 


-| eoreos production vmware insecure. vmxf 


一 coreos production vmware insecure image. vmdk 
insecure ssh key 

| | mvram 

| ,wnware.log 

| ,  mware-Üü.log 

| ,wnmware-l.log 


|, wnware-2.log 


图 9-1 虚拟 机 文件 


双击 vmx 文 件 后 ， 即 可 启动 CoreOs 虚 拟 机 ， 如 图 9-2 所 示 。 


I] Coreos production vmware sseoure-444-0-0 - VMeare Workstatior NC: 
lo Edt Vew VM mbs Heb 


= EENCLIL ee us IN Lc guy f 
Library 5 : 一 
PT to search 4 Home C) 49 My Computer 39 Shared NMs [3 É cores production vmware ins.. E) 
ype here to sa 
v 地 My Cornauter 

£ coreos producti. 


IB Shared VMs 


Thi $ localhost.u»knomn_dorain (Linux xb6 64 3.16.2+} 85:45:81 

55H host key 37:404:058:35:67 :8c:51:51:94:be:12:11-98:f5-c4. (ISA? 
SSH host key: c7:57:ab:e69:40:«4d:8[:c4:11:32:2e:1£8:8c-Bb:22:4e. CEB25519) 
SSH host key: 51:565: 1d:83:£5:d7:e8:58:4c:7f :e9:fe.9c:96:81 CRSA) 
uapsł7: 192.160.6.1 fuð: :28c 29ff :futt:?346 


localhost login: 


:92 
1 (DSA?) 
SSH host key 122:46 (EB25519) 
55H host key: 51:55-81:14 f5:07:68:5B8:4c:7T:898:Te:96:936 ERSA? 
€5p8217: 192., 1686.6. 153 [68 28c:2011:1e[1:7346 


localhost login: 


This i$ localhost. umknowun domain (Linux xH&6 54 3.15.23) 85:45:87 

SSH host key: 9da:97:d4:b00:35:6f :8c:51:51:94:be:12:11:90:15 USA?) 
SSH host key: c7:57:ah:e9:40:ed:81 :c4:11:32:2e6: f8:8c Bh :22- (EB255193) 
SSH host kep: 51:55:81:14:83 1d? o8: 7f 109: fe:9c :96* (RSA) 
eapst?: 192.16B.6,153 fef 28c :29 19346 


localhost login: . 


Vadit input to tis VM, click misha or press chri. 


C] P | lp € tum thti - CSDNONET - Ch Wi corediiocalhost- ~ - Konsole A Fid3l i coreos. production wmware inse. [^u e uu BeN 13:46 


图 9-2 启动 CoreOS 虚 拟 机 


/products/workstation/ 下 载 ， 如 图 9-3 所 示 。 


N. vmMware.co 


Feaiures Compare 


Buy Workstation 10 today. 
Get Workstation 11 FREE in December 


9-3 VMware Workstation 下 载 


经 过 笔者 测试 ，CoreOS 官 方 镜像 在 VMware 推 出 的 免费 版 虚拟 机 ViMware Playetr 中 无 法 通过 DHCP 自 动 获取 IP 地 址 ， 这 会 造成 读者 无 法 正常 使 用 SSH 客 户 端 登录 CoreOS 鹿 拟 机 。 故 笔者 推荐 使 用 
VMware Wotrkstation 打 开 vmx 文 件 。 如 超过 试用 期 ， 请 通过 正规 渠道 购买 正版 授权 。 


另外 ， 如 果 在 安装 VMware Workstation 过 程 中 出 现 HTTPS 端 口 被 占用 的 情况 ， 可 以 选择 443 之 外 的 端口 ， 或 者 禁用 占用 端口 的 服务 ， 如 图 9-4 所 示 。 


Vüware Workstation 安装 


Workstation Server 组 件 配置 
Ah “下 一 步 ”使 用 以 下 Workstation Server 组 件 配置 继续 进行 安装 。 


将 共享 虚拟 机 存 铺 到 : 
C:UserslPublic(Documents Shared Virtual Machines 


输入 需要 Workstation Server 组 件 侦 听 的 端口 的 值 
HTTPS 端口 : [443 此 端口 正 被 其 他 程序 使 用 。 


4 


9-4 VMware Workstation 安 装 


第 二 步 ， 此 时 CoreOS 系 统 已 经 在 VMware Workstation 中 启动 ， 显 示 登 录 提示 ， 如 图 9-5 所 示 。 


El -oreos_prodnction_ vsware insecure-444-ü-Ü — Vlvare Workstation 


文件 个 REO SEU 虚拟 机 如 ”选项 不 并 帮助 如 


| 
库 x 
Q 在 此 处 键 广内 容 进 行 搜索 v 


LE oc— This is localhost.unknowun domain (Linux x85 64 3.16.2*) 84:55:28 

Co tende EAMISSH host key: 8f:38:1d:19:17:9f:54:5d:403:24:83:b8:cc:8b:a6:fb (DSA) 

uc QU SSH host key: ef:78:32:35:42:24d:42:a4:8b:53:3e:c3:99:dc:b1:38 (ED25519) 
SSH host key: df:ec:92:b9:1d:fb:53:3c:5a:29:88:1e:fa:51:59:69 (RSA) 
enp8s17:  fe88::28c:29ff :fe83:1da5 


(9j coreos production vmwa... ^ | 


localhost login: 


要 桂 苯 久 定 名 到 该 虚拟 机 ， 请 在 虚拟 机 内 部 单 击 或 技 ctrlf5。 


cUm gii 


图 9-5 CoreOS4E VMware Workstation v È 5/j 


直接 按 回 车 键 ， 获 取 当 前 系统 的 IP 地 址 ， 如 图 9-6 所 示 。 


El cor*os production vaware insecure-444-0-0 一 Vlvare Workstation < 局 fai 
文件 @) | REO SEV 虚拟 机 如 ARET 帮助 他) 

Te n 

E x 


E} coreos production vmwa... * | 
localhost login: 


Q 在 此 处 键入 内 容 进行 搜索 ~ 


cis 我 89 计算 机 
Eram Thi 3.16.24) 84:57:48 

dx :10:18:17:81:54d:5d:43:240 :83: b8:cc:8b:ab:fb DSA)? 
:32:36:42:24:42:a4:8b:53:3e:c3:99:dc:b1:38 (ED25519) 
:92:b9:1d:fb:63:3c:6a:29:89:1e:fa:61:69:69 (RSA) 
.128 fe88::28c:29ff :fe09:1da5 


localhost login: I 256.8467861 ip tables: (C) 2888-2886 Netfilter Core Team 
256.8717061 Bridge firewalling registered 
256.8765651 IPv6: fiDDRCONF(NETDEU UPO: docker8: link is not ready 
255.8915351 nf conntrack version 8.5.8 (7985 buckets, 31948 max) 
401.8494711] pcnet32 0888:800:11.0 enp8s17: link donn 
411.9531511 pcnet32 W8B88:HH8:11,.8 enp8Us17: link up 


This is localhost.unknaum domain (Linux x85 64 3.16.24) 85:15:55 

SSH host key: 8f:38:140:19:717:98f:54:5d:43:20:83:58:cc:8b:aB5:fb (DSA) 
(ED25519) 
CRSA) 


Øf localhost login: 


要 格 坷 叉 定名 到 该 虞 拟 机 ， 请 在 瞩 瓜 机 内 部 单 击 或 按 Ctrl16。 TIENE 


图 9-6 ”查看 地 址 信息 


此 时 CoreOS 的 IP 地 址 是 192.168.66.128。 


第 三 步 ， 使 用 SSH 客 户 端 连接 此 镜像 。 


笔者 以 Windows 环 境 为 例 ， 使 用 SecureCRT 工 具 进 行 连接 。 此 处 读者 需要 确定 如 下 信息 : 


“CoreOS 虚 拟 机 的 JP 地址 。 
* CoreOS 虚 拟 机 的 文件 目录 下 含有 insecutre_ssh_key 公 铀 文件 。 


打开 SecureCRT， 建 立新 的 SSH 连 接 ， 如 图 9-7 所 示 。 


快速 连接 : x| 


Hige): [ssH2 4 
NEH: [192. 168.66.128 MP" 


uro): [22 Etico: [x 了 | 
FH PR): | 


[^ ANETARE M 保存 会 话 () 
「 在 标签 页 中 打开 人 


ic: 取消 | 


图 9-7 使 用 SecureCRT 建 立 连接 


点 击 “ 属 性 ”按钮 添加 insecure_ssh_key 公 钥 文 件 后 ， 即 可 点 击 “ 连 接 *”。 如 果 连 接 成 功 ， 则 读者 可 以 看 到 命令 行 页 


， 在 命令 行 中 可 以 输入 如 下 命令 : 


之 后 应 该 可 以 看 到 Docker 的 版 本 信息 ， 如 图 9-8 所 示 。 


= 192. 168. 66. 128 - SecureC RT 


~ $ docker version 
Client version: 1.2.0 
Client API version: 1.14 
Go version Men): 1.3.1 


Server version: 1.2.0 
Server API version: 1.14 

Go version (server): 1.3.1 
Git commit (server): fa7b24f 
core&localhost ~ $ 


图 9-8 ”通过 SecureCRT 访 问 CoreOS 虚 拟 机 


此 时 ，CoreOS 虚 拟 机 已 经 成 功 运行 ， 并 且 可 以 使 用 SSH 客 户 端 方便 地 操作 CoreOS 虚 拟 机 。Docker 已 经 内 置 于 CoreOS 中 ， 读 者 可 以 进行 各 种 Docker 操 作 ， 如 图 9-9 所 示 。 


iJ SJ [3 53 2) 
Eu esee tu 


(cA 


Bl 


core&localhost ~ $ docker pull 


Pulling O EP 


6b3a85e4a74a: Pul 
docker .io/vi/ 
6b0d47f47ad7: Pulling 
-1.docker. io/v1/ 
a7fd2d55bb86: Pulling 
-1.docker. io/v1/ 
fo21d64f9a8c: Pulling 
docker .io/v1/ 
29e51d0556bc: Pulling 
-1.docker. io/v1/ 
9a7aa409f7 58: Pulling 
1. docker.io/v1/ 
bbfO2dfe667b: Pulling 


image 
image 
image 
image 
image 
image 


image 


php 
(5.3.29-cli) from php, endpoint: https://registry-1. 
(5. 
C5. 
(5. 
(5. 
(5: 


(s. 


5.18-apache) from php, endpoint: https://registry 
5.16-apache) from php, endpoint: https://registry 
5-apache) from php, endpoint: https://registry-1. 
4.32-apache) from php. endpoint: https://registry 
6.3-apache) from php, endpoint: https://registry- 
4.33-apache) from php, endpoint: https://registry 


-1.docker. io/v1/ 


如 果 读 者 的 本 机 环境 是 Linux 系 统 ， 可 以 使 用 SSH 公 钥 (在 解压 后 的 根 目录 下 ) ， 直 接 使 


: Pulling 
: Pulling 
bbfo2dfec6ó67b: 
a7fd2d55bbs6: 
9d963a25€7 39: 
8314ed40214d: 
a5efe7/a0c01b: 
0383dbddafe9: 
256ac99db932: 
00fa73ec2793: 
e4603badbed5: 
1c6588912a40: 
5431dbd92412: 
dcdd5b107bc?2: 
0ba82ab21309: 
42ac699b8550: 
630aabff79c5: 
44ededfd6597 : 
b99ea5c97254: 
68fec2bed78d: 
d4109f67485c: 
2bdbadf 3469b: 
802b1aaa89da: 
7a0d03c7b9dc: 
900ad5fcb607 : 
ges 


Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 
Pulling 


image (5. 
dependent 
dependent 
dependent 
dependent 
dependent 
dependent 
image (5. 
dependent 
dependent 
image (5. 
dependent 
image (5. 
dependent 
image (5. 
dependent 
dependent 
dependent 
dependent 
dependent 
dependent 
dependent 
dependent 
dependent 
dependent 
metadata 


6.0-apache) from php, endpoint: https://registry- 
layers 
layers 
layers 
layers 
layers 
layers 
4.32-cli) from php, endpoint: https://registry-1. 
layers 
layers : i 
a eT from php, endpoint: https://registry- 
ayers 
4. 35-apache) from php, endpoint: https://registry 
ayers 
6-fpm) from php, endpoint: https://registry-1.doc 
layers 
layers 
layers 
layers 
layers 
layers 
layers 
layers 
layers 
layers 


图 9-9 ”通过 SecureCRT 在 CoreOS 虚 拟 机 中 执行 操作 


ssh 命 令 连接 CoreOS 虚 拟 机 。 如 下 所 示 : 


$ ssh -i ~/insecure ssh key core8192.168.6.153 


CoreOS (alpha) 
core8(localhost ~ $ 1s 


core(localhost ~ $ docker ps 
CONTAINER ID IMAGE COMMANI 


coreülocalhost ~ $ ip a 


D | CREATED STATUS PORTS NAMES 


1: lo: <LOOPBACK, UP, LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 


valid lft forever preferred lft forever 
inet6 ::1/128 scope host 
valid lft forever preferred lft forever 


2: enp0s17: «BROADCAST, MULTICAST, UP, LOWER UP» mtu 1500 qdisc pfifo fast state UNKNOWN qlen 1000 
link/ether 00:0c:29:ff:73:46 brd ff:ff:ff:ff:ff:ff 
inet 192.168.6.153/20 brd 192.168.15.255 scope global dynamic enp0s17 

valid lft 604500sec preferred lft 604500sec 
inet6 fe80::20c:29ff:feff:7346/64 scope link 


valid lft forever preferred lft forever 


3: docker0: «NO-CARRIER, BROADCAST, MULTICAST, UP» mtu 1500 qdisc noqueue state DOWN 
link/ether 56:84:7a:fe:97:99 brd ff:ff:ff:ff:ff:ff 
inet 172.17.42.1/16 scope global docker0 


valid lft forever preferred lft forever 


core8ülocalhost ~ $ 


读者 可 见 上 文中 出 现 ip a 命令 ， 此 命令 可 以 查看 CoreOS 虚 拟 机 的 网 


信息 。 


95 本章 小 结 


除了 官方 的 镜像 外 ， 在 DockerHub 上 还 有 许多 第 三 方 组 织 或 个 人 上 传 的 镜像 。 一 般 来 说 ， 它 们 各 有 特点 ， 读 者 可 以 根据 具体 情况 来 选择 。 在 选择 过 程 中 ， 有 以 下 几 点 需要 注意 : 


: 官方 的 镜像 体积 都 比较 小 ， 只 安装 了 一 些 基 本 的 组 件 。 一 个 精简 的 系统 有 利于 安全 、 稳 定 和 高 效 地 运行 ， 也 更 加 适合 用 来 定制 一 些 服务 。 


:个别 组 织 和 个 人 上 传 的 镜像 质量 也 非常 高 。 他 们 通常 针对 某 个 具体 应 用 做 了 最 精准 的 定位 ， 比 如 : 当 需 要 下 载 一 个 包含 LAMP 组 件 的 Ubuntu 镜像 时 ，DockerHub 上 可 能 已 经 有 集成 好 的 镜像 了 ， 比 如 


tutum、dockerpool 等 。 


另外 ， 想 查看 下 载 镜像 的 详细 信息 ， 可 以 通过 docker inspect+ 镜 像 1D 的 方法 来 获取 更 多 信息 。 


最 后 ， 关 于 镜像 登录 的 用 户 名 和 密码 。 出 于 安全 考虑 ， 几 乎 所 有 带 官方 标志 的 操作 系统 都 无 法 直接 使 用 用 户 名 和 密码 直接 登录 ， 而 且 一 般 都 没有 安装 SSH 服 务 。 


下 一 章 ， 笔 者 将 带领 读者 一 起 创建 一 个 带 SSH 服 务 的 基础 镜像 。 


第 10 章 创建 支持 SSH 服 务 的 镜像 


一 般 情况 下 ，Linux 系 统管 理 员 通过 SSH 服 务 来 管理 操作 系统 ， 但 Docker 的 很 多 镜像 是 不 带 SSH 服 务 的 ， 那 么 我 们 怎样 才能 管理 操作 系统 呢 ? 


在 第 一 部 分 中 我 们 介绍 了 一 些 进入 容器 的 办 法 ， 比 如 用 attach、exec 等 命令 ， 但 是 这 些 命令 都 无 法 解决 远程 管理 容器 的 问题 。 因 此 ， 当 读者 需要 远程 登录 到 容器 内 进行 一 些 操作 的 时 候 ， 就 需要 SSH 的 
支持 了 。 


本 章 将 具体 介绍 如 何 自行 创建 一 个 带 有 SSH 服 务 的 镜像 ， 并 详细 介绍 两 种 创建 容器 的 方法 : 基于 docker commit 命 令 创建 和 基于 Dockerfile 创 | 对 


lu 


10.1 基于 commit 命 令 创建 


Docker 提 供 了 docker commit 命 令 ， 支 持 提交 自己 对 容器 的 修改 ， 并 生成 新 的 镜像 。 命 令 格式 为 docker commit CONTAINER[REPOSITORY[: TAG]]。 


这 里 将 介绍 如 何 使 用 docker commit 命 令 ， 为 ubuntu: 14.04 镜 像 添加 SSH 服 务 。 


准备 工作 


首先 ， 使 用 ubuntu : 14.04 镜 像 来 创建 一 个 容器 : 


$ sudo docker run -it ubuntu:14.04 /bin/bash 


尝试 使 用 SSHD 命 令 ， 读 者 会 发 现 容器 中 并 没有 安装 该 服务 : 


rootefc1936ea8ceb:/# sshd 
bash: sshd: command not found 


同时 ， 笔 者 从 apt 包 管理 器 的 软件 源 信息 中 亦 找 不 到 启动 SSH 服 务 需要 的 openssh-server， 这 是 因为 Ubuntu 官方 镜像 中 并 没有 包含 软件 包 的 缓存 文件 : 


root8fcl936ea8ceb:/f apt-get install openssh-server 

Reading package listshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... Done 
Building dependency tree u 

Reading state informationhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... Done 
E: Unable to locate package openssh-server il 


下 面 ， 笔 者 将 演示 如 何 更 新 软件 包 缓存 ， 并 安装 SSHD 服 务 。 


配置 软件 源 


检查 软件 源 ， 并 使 用 apt-get update 来 更 新 软件 源 信息 : 


rootefc1936ea8ceb:/# apt-get update 

Ign http://archive.ubuntu.com trusty InRelease 

Ign http://archive.ubuntu.com trusty-updates InRelease 

Ign http://archive.ubuntu.com trusty-security InRelease 

Ign http://archive.ubuntu.com trusty-proposed InRelease 

http://www .hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 

Fetched 20.4 MB in 2min 55s (116 kB/s) 

Reading package listshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... Done 


如 果 默 认 的 官方 源 速 度 慢 的 话 ， 也 可 以 替换 为 国内 163、Sohu 等 镜像 的 源 。 以 163 源 为 例 ， 在 容器 内 创建 /etc/apt/sources.list.d/163.list 文 件 : 


root@fcl936ea8ceb:/# vi /etc/apt/sources.list.d/163.1list 


添加 如 下 内 容 到 文件 中 : 


deb http://mirrors.163.com/ubuntu/ trusty main restricted universe multiverse 

deb http://mirrors.163.com/ubuntu/ trusty-security main restricted universe multiverse 

deb http://mirrors.163.com/ubuntu/ trusty-updates main restricted universe multiverse 

deb http://mirrors.163.com/ubuntu/ trusty-proposed main restricted universe multiverse 

deb http://mirrors.163.com/ubuntu/ trusty-backports main restricted universe multiverse 
deb-src http://mirrors.163.com/ubuntu/ trusty main restricted universe multiverse 

deb-src http://mirrors.163.com/ubuntu/ trusty-security main restricted universe multiverse 
deb-src http://mirrors.163.com/ubuntu/ trusty-updates main restricted universe multiverse 
deb-src http://mirrors.163.com/ubuntu/ trusty-proposed main restricted universe multiverse 
deb-src http://mirrors.163.com/ubuntu/ trusty-backports main restricted universe multiverse 


之 后 重新 执行 apt-get update 命 令 即 可 。 


安装 和 配置 SSH 服 务 


更 新 软件 包 缓 存 后 ， 已 经 可 以 安装 SSH 服 务 了 ， 选 择 主流 的 openssh-server 作 为 服务 端 。 可 以 看 到 需要 下 载 安 装 众多 的 依赖 软件 包 : 


root@fcl936ea8ceb:/# apt-get install openssh-server 
Reading package listshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... Done 
Building dependency tree 
Reading state informationhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/O0EBPS/Text/... Done 
The following extra packages will be installed: 7 

ca-certificates krb5-locales libck-connector0 libedit2 libgssapi-krb5-2 

libidn11 libk5crypto3 libkeyutils1 libkrb5-3 libkrb5support0 

libpython-stdlib libpython2.7-minimal libpython2.7-stdlib libwrap0 libx11-6 

libxll-data libxau6 libxcbl libxdmcp6 libxext6 libxmuul ncurses-term 

openssh-client openssh-sftp-server openssl python python-chardet 

python-minimal python-requests python-six python-urllib3 python2.7 

python2.7-minimal ssh-import-id tcpd wget xauth 

Suggested packages: 

krb5-doc krb5-user ssh-askpass libpam-ssh keychain monkeysphere rssh 

molly-guard ufw python-doc python-tk python2.7-doc binutils binfmt-support 

The following NEW packages will be installed: 

ca-certificates krb5-locales libck-connector0 libedit2 libgssapi-krb5-2 

libidnll libk5crypto3 libkeyutilsl libkrb5-3 libkrb5supportO 

libpython-stdlib libpython2.7-minimal libpython2.7-stdlib libwrap0 libx11-6 

libxll-data libxau6 libxcbl libxdmcp6 libxext6 libxmuul ncurses-term 

openssh-client openssh-server openssh-sftp-server openssl python 

python-chardet python-minimal python-requests python-six python-urllib3 

python2.7 python2.7-minimal ssh-import-id tcpd wget xauth 
0 upgraded. 38 newly installed, 0 to remove and 29 not upgraded. 
Need to get 7599 kB of archives. 
After this operation. 35.3 MB of additional disk space will be used. 
Do you want to continue? [Y/n] y 
Get:1 http://archive.ubuntu.com/ubuntu/ trusty/main libedit2 amd64 3.1-20130712-2 [86.7 kB] 
http://archive.ubuntu.com/ubuntu/ trusty-proposed/main libkrb5supportO0 amd64 1.124dfsg-2ubuntu5 [30.0 kB] 
http://archive.ubuntu.com/ubuntu/ trusty-proposed/main libk5crypto3 amd64 1.124dfsg-2ubuntu5 [79.9 kB] 
http://archive.ubuntu.com/ubuntu/ trusty/main libkeyutilsl amd64 1.5.6-1 [7318 B] 
Get:5 http://archive.ubuntu.com/ubu 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Updating certificates in /etc/ssl/certshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 164 added. 0 removed; done. 
Running hooks in /etc/ca-certificates/update.dhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/ . .http: / /www.hzcourse.com/ 
Processing triggers for ureadahead (0.100.0-16) http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


要 正常 启动 SSH 服 务 ， 需 要 目录 /var/run/sshd 存 在 ， 手 动 创 建 它 ， 并 启动 服务 : 


root8fcl936ea8ceb:/4 mkdir -p /var/run/sshd 
rootéfcl936ea8ceb:/4 /usr/sbin/sshd -D & 
[1] 3254 


此 时 查看 容器 的 22 端 口 (SSH 服 务 默认 监听 的 端口 ) ， 已 经 处 于 监听 状态 : 


Footefc1936ea8ceb: /# netstat -tunlp 
Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN x 

tcp6 0 0 :::22 SUUS LISTEN 一 

修改 SSH 服 务 的 安全 登录 配置 ， 取 消 pam 登 录 限 制 : 

root@fcl936ea8ceb:/# sed -ri 's/session required pam loginuid.so/fsession required pam loginuid.so/g' /etc/pam.d/sshd 


在 root 用 户 目录 下 创建 .sh 目录 ， 并 复制 需要 登录 的 公 钥 信息 (一 般 为 本 地 主机 用 户 目 录 下 的 .ssh/id_rsa.pub 文 件 ， 可 由 ssh-keygen-t rsa 命 令 生成 ) Slauthorized keys 文 件 中 。 


rootefc1936ea8ceb: /# mkdir root/.ssh 
root@fcl936ea8ceb:/# vi /root/.ssh/authorized keys 


创建 自动 启动 SSH 服 务 的 可 执行 文件 run.sh， 并 添加 可 执行 权限 : 


root8fcl936ea8ceb:/4 vi /run.sh 
root8fcl936ea8ceb:/4 chmod +x run.sh 


run.sh 脚 本 内 容 如 下 : 


#!/bin/bash 
/usr/sbin/sshd -D 


最 后 ， 退 出 容器 : 


root8éfcl936ea8ceb:/4 exit 
exit 


保存 镜像 


将 所 退出 的 容器 用 docker commit 命 令 保存 为 一 个 新 的 sshd: ubuntu 镜像 : 


$ sudo docker commit fcl sshd:ubuntu 
"lae£2cd95£d0c712£022bcff6a4ddefccf20fd693da2b24b04eelcd3ed3eb6fc 


使 用 docker images 查 看 本 地 生成 的 新 镜像 sshd: ubuntu， 目 前 拥有 的 镜像 如 下 : 


$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
sshd ubuntu 7aef2cd95fd0 10 seconds ago 255.2 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 


使 用 镜像 


启动 容器 ， 并 添加 端口 映射 10022-->22。 其 中 10022 是 宿主 主机 的 端口 ，22 是 容器 的 SSH 服 务 监听 端 


$ sudo docker run -p 10022:22 -d sshd:ubuntu /run.sh 
3ad7182aa47£9ce670d933£943f£dec946ab69742393ab2116bace72db82b4895 


启动 成 功 后 ， 可 以 在 宿主 主机 上 看 到 容器 运行 的 详细 信息 


$ sudo docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
3ad7182aa47f | sshd:ubuntu "/run.sh" 2 seconds ago Up 2 seconds 0.0.0.0:10022-222/tcp focused ptolemy 


在 宿主 主机 (192.168.1.200) 或 其 他 主机 上 ， 可 以 通过 SSH 访 问 10022 端 口 来 登录 容器 : 


$ ssh 192.168.1.200 -p 10022 

The authenticity of host '[192.168.1.200]:10022 ([192.168.1.200]:10022)' can't 
be established. 

ECDSA key fingerprint is 5f:6e:4c:54:8£:c7:7£:32:c2:38:45:bb:16:03:c9:e8. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '[192.168.1.200]:10022' (ECDSA) to the list of known hosts. 

Welcome to Ubuntu 14.04 LTS (GNU/Linux 3.2.0-37-generic x86 64) 
* Documentation:  https://help.ubuntu.com/ 

The programs included with the Ubuntu system are free software; 

the exact distribution terms for each program are described in the 

individual files in /usr/share/doc/*/copyright. 

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by 

applicable law. 

root83ad7182aa47f:-4 


10.2 ”使 用 Dockerfile 创 建 


在 第 一 部 分 中 笔者 曾 介绍 过 Dockerfile 的 基础 知识 ， 下 面 将 介绍 如 何 使 用 Dockerfile 来 创建 一 个 支持 SSH 服 务 的 镜像 。 


1. 创 建 工 作 目录 


首先 应 创建 一 个 sshd_ubuntu 工 作 目 录 : 


$ mkdir sshd ubuntu 
$ 1s 
sshd ubuntu 


在 其 中 ， 创 建 Dockerfile 和 run.sh 文 件 : 


$ cd sshd ubuntu/ 

$ touch Dockerfile run.sh 
$ 1s 

Dockerfile run.sh 


2 .编写 run.sh 脚 本 和 authorized_keys 文 件 


脚本 文件 run.sh 的 内 容 与 上 一 小 节 中 一 致 : 


#!/bin/bash 
/usr/sbin/sshd -D 


在 宿主 主机 上 生成 SSH 密 钥 对 ， 并 创建 authorized_keys 文 件 : 


$ ssh-keygen -t rsa 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
$ cat ~/.ssh/id rsa.pub >authorized keys 


3. 编 写 Dockerfile 


下 面 是 Dockerfile 的 内 容 及 各 部 分 的 注释 ， 可 以 发 现 ， 对 比 上 一 节 中 利用 docker commit 命 令 创建 镜像 过 程 ， 所 进行 的 操作 基本 一 致 。 


# 设 置 继承 镜像 

FROM ubuntu:14.04 

# 提 供 一 些 作者 的 信息 

MAINTAINER from www.dockerpool.com by waitfish (dwj zz8163.com) 

# 下 面 开始 运行 命令 ， 此 处 更 改 ubuntu 的 源 为 国内 163 的 源 

RUN echo "deb http: //mirrors.163.com/ubuntu/ trusty main restricted universe multiverse" » /etc/apt/sources.list 

RUN echo "deb http://mirrors.163.com/ubuntu/ trusty-security main restricted universe multiverse" »» /etc/apt/sources.list 

RUN echo "deb http://mirrors.163.com/ubuntu/ trusty-updates main restricted universe multiverse" >> /etc/apt/sources.list 

RUN echo "deb http://mirrors.163.com/ubuntu/ trusty-proposed main restricted universe multiverse" »» /etc/apt/sources.list 

RN echo "deb http://mirrors.163.com/ubuntu/ trusty-backports main restricted universe multiverse" »» /etc/apt/sources.list 
UN apt-get update 

psum ri 

RUN apt-get install -y openssh-server 

RUN mkdir -p /var/run/sshd 

RUN mkdir -p /root/.ssh 

全 
UN sed -ri 's/session required pam loginuid.so/fsession required pam loginuid.so/g' /etc/pam.d/sshd 

a EE 并 赋 子 天 木 届 执行 权限 

ADD authorized keys /root/.ssh/authorized keys 

ADD run.sh /run.sh 

RUN chmod 755 /run.sh 

PUGO 

EXPOSE 22 

# 设 置 自 启动 命令 

CMD ["/run.sh"] 


4. 创 建 镜像 


在 sshd_ubuntu 目 录 下 ,使 用 docker build 命 令 来 创建 镜像 。 注 意 一 下 ， 在 最 后 还 有 一 个 “.”， 表 示 使 用 当前 目录 中 的 Dockerfile。 


$ cd sshd ubuntu 
$ sudo docker build -t sshd:dockerfile . 


如 果 读 者 使 用 Dockerfile 创 建 自 定义 镜像 ， 那 么 需要 注意 的 是 Docker 会 自动 删除 中 间 临 时 创建 的 层 ， 还 需要 注意 每 一 步 的 操作 和 编写 的 Dockerfile 中 命令 的 对 应 关系 。 


执行 docker build 命 令 的 输出 参考 结果 如 下 : 


Sending build context to Docker daemon 5.632 kB 
Sending build context to Docker daemon 
Step 0 : FROM ubuntu:14.04 
---» ba5877dc9bec 
Step 1 : MAINTAINER dwj zz8163.com 
---» Running in 188d74d02d35 
---» 473eb019b331 
Removing intermediate container 188d74802d35 
Step 2 : RUN echo "deb http://mirrors.163.com/ubuntu/ trusty main restricted universe multiverse" » /etc/apt/sources.list 
---» Running in f52e2a583db5 
-=--> bd4ceef2eel9 
Removing intermediate container f52e2a583db5 
Step 3 : RUN echo "deb http://mirrors.163.com/ubuntu/ trusty-security main restricted universe multiverse" »» /etc/apt/sources.list 
---» Running in 897d65dfe9be 
---» 9cd736f11928 
Removing intermediate container 897d65dfe9be 
Step 4 : RUN echo "deb http://mirrors.163.com/ubuntu/ trusty-updates main restricted universe multiverse" »» /etc/apt/sources.list 
---» Running in ec3433db813e 
---» 3fca0b605de4 
Removing intermediate container ec3433db813e 
Step 5 : RUN echo "deb http://mirrors.163.com/ubuntu/ trusty-proposed main restricted universe multiverse" »» /etc/apt/sources.list 
---» Running in 4a0fel65598f 
---» f6dlc7af36c8 
Removing intermediate container 4a0fe165598f 
Step 6 : RUN echo "deb http://mirrors.163.com/ubuntu/ trusty-backports main restricted universe multiverse" »» /etc/apt/sources.list 
---» Running in 209179c21053 
===> 0cda758c9f3c 
Removing intermediate container 209179c21053 
Step 7 : RUN apt-get update 
---» Running in l1fd40eb66f7b 
Ign http://archive.ubuntu.com trusty-proposed InRelease 
Get:l http://archive.ubuntu.com trusty-proposed Release.gpg [933 B] 
Ge http://archive.ubuntu.com trusty-proposed Release [110 kB] 
Get:3 http://archive.ubuntu.com trusty-proposed/main amd64 Packages [160 kB] 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Fetched 11.3 MB in 1min 37s (116 kB/s) 
Reading package listshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
---» 0f132591eddc i 
Removing intermediate container 1fd40eb66f7b 
Step 8 : RUN apt-get install -y openssh-server 
---» Running in 399e4ea72682 
Reading package listshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Building dependency treehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Reading state informationhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
The following extra packages will be installed: T 
ca-certificates krb5-locales libck-connector0 libedit2 libgssapi-krb5-2 
libidn11 libk5crypto3 libkeyutils1 libkrb5-3 libkrb5support0 
libpython-stdlib libpython2.7-minimal libpython2.7-stdlib libwrap0 libx11-6 
libxll-data libxau6 libxcbl libxdmcp6 libxext6 libxmuul ncurses-term 
openssh-client openssh-sftp-server openssl python python-chardet 
python-minimal python-requests python-six python-urllib3 python2.7 
python2.7-minimal ssh-import-id tcpd wget xauth 
Suggested packages: 
krb5-doc krb5-user ssh-askpass libpam-ssh keychain monkeysphere rssh 
molly-guard ufw python-doc python-tk python2.7-doc binutils binfmt-support 
The following NEW packages will be installed: 
ca-certificates krb5-locales libck-connector0 libedit2 libgssapi-krb5-2 
libidnll libk5crypto3 libkeyutilsl libkrb5-3 libkrb5supportO 
libpython-stdlib libpython2.7-minimal libpython2.7-stdlib libwrapO libx11-6 
libxll-data libxau6 libxcbl libxdmcp6 libxext6 libxmuul ncurses-term 
openssh-client openssh-server openssh-sftp-server openssl python 
python-chardet python-minimal python-requests python-six python-urllib3 
python2.7 python2.7-minimal ssh-import-id tcpd wget xauth 
0 upgraded, 38 newly installed, 0 to remove and 29 not upgraded. 
Need to get 7599 kB of archives. 
After this operation, 35.3 MB of additional disk space will be used. 
Get:l http://mirrors.163.com/ubuntu/ trusty/main libedit2 amd64 3.1-20130712-2 [86.7 kB] 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Running hooks in /etc/ca-certificates/update.dhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/ . .http: / /www.hzcourse.com/ 
Processing triggers for ureadahead (0.100.0-16) http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
---» 62f952643e33 
Removing intermediate container 399e4ea726d2 
Step 9 : RUN mkdir -p /var/run/sshd 
---» Running in aalc4d469284 
---» e81557dd4887 
Removing intermediate container aal1c4d469284 
Step 10 : RUN mkdir -p /root/.ssh 
---» Running in 062698708180 
---» 23882ee06756 
Removing intermediate container 0626987081d0 
Step ll : RUN sed -ri 's/session required pam loginuid.so/£session required pam loginuid.so/g' /etc/pam.d/sshd 
---» Running in 3808c650bf85 
---» 6c0cald20d7f 
Removing intermediate container 3808c650bf85 
Step 12 : ADD authorized keys /root/.ssh/authorized keys 
---» a64bbd8ae617 T E 
Removing intermediate container 16e2d93d6ef0 
Step 13 : ADD run.sh /run.sh 
=--> 230711022f7d 
Removing intermediate container 137e56188d7b 
Step 14 : RUN chmod 755 /run.sh 
---» Running in a876e4ea378e 
---» 32d74bbb7406 
Removing intermediate container a876e4ea378e 
Step 15 : EXPOSE 22 
» Running in eeaf9352call 
---» 901e3fa9f596 
Removing intermediate container eeaf9352call 
Step 16 : CMD /run.sh 
---» Running in 48c37db83ffb 
---» 570c26a9de68 
Removing intermediate container 48c37db83ffb 
Successfully built 570c26a9de68 


命令 执行 完毕 后 ， 如 果 可 见 “Successfully built XXX” 字 样 ， 则 说 明镜 像 创 建成 功 。 可 以 看 到 ， 以 上 命令 生成 的 镜像 ID 是 570c26a9de68。 


在 本 地 查看 sshd: dockerfile 镜 像 已 存在 : 


$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
sshd dockerfile 570c26a9de68 4 minutes ago 246.5 MB 
sshd ubuntu 7aef2cd95fd0 12 hours ago 255.2 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu 14.04 ba5877dc9bec 3 months ago 192.7 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 


5. 测 试镜 像 ， 运 行 容器 


使 用 刚才 创建 的 sshd: dockerfile 镜 像 来 运行 一 个 容器 。 直 接 启动 镜像 ， 映 射 容器 的 22 端 口 到 本 地 的 10122 端 口 : 


$ sudo docker run -d -p 10122:22 sshd:dockerfile 


890c04f£8d7695604386ba4475253ae8c21£c92d60083759afa775713bf4e8afl 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

890c04ff8d76 sshd:dockerfile "/run.sh" 4 seconds ago Up 3 seconds 0.0.0.0:10122-222/tcp high albattani 


在 宿主 主机 新 打开 一 个 终端 ， 连 接 到 新 建 的 容器 : 


$ ssh 192.168.1.200 -p 10122 
The authenticity of host '[192.168.1.200]:10122 ([192.168.1.200]:10122)' can't be established. 
ECDSA key fingerprint is d1:59:f1:09:3b:09:79:68:19:16:£f4:£d:39:1b:be:27. 
Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '[192.168.1.200]:10122' (ECDSA) to the list of known hosts. 
Welcome to Ubuntu 14.04 LTS (GNU/Linux 3.2.0-37-generic x86 64) 
* Documentation:  https://help.ubuntu.com/ n 
The programs included with the Ubuntu system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by 
applicable law. 
root8890c04ff8d76:-4 


效果 与 上 一 小 节 一 致 ， 镜 像 创建 成 功 。 


10.3 ”本 章 小 结 


在 Docker 社 区 中 ， 对 于 是 否 需要 为 Docker 容 器 启用 SSH 服 务 一 直 有 争论 。 


dii 


一 方 的 观点 是 : Docker 的 理念 是 一 个 容器 只 运行 一 个 服务 。 因 此 ， 如 果 每 个 容器 都 运行 一 个 额外 的 SSH 服 务 ， 就 违背 了 这 个 理念 。 另 外 认为 根本 没有 从 远程 主机 进入 容器 进行 维护 的 必要 。 


另 一 方 的 观点 是 : 在 Docker 1.3 版 本 之 前 ， 如 果 要 用 attach 进 入 容器 ， 经 常 容易 出 现 卡 死 的 情况 。1.3 之 后 ， 虽 然 官 方 推出 了 docker exec 命 令 ， 在 从 宿主 主机 进入 是 没有 障碍 了 ， 但 是 如 果 要 从 其 他 远 
程 主机 进入 容器 依然 没有 更 好 的 解决 方案 。 


笔者 认为 ， 通 过 一 些 目前 看 来 较为 复杂 的 方式 ， 确 实 能 够 不 需要 进入 容器 进行 维护 ， 但 是 使 用 SSH 进 行 服务 的 维护 ， 是 目前 Linux 用 户 较为 熟悉 的 方式 。 


因此 ， 在 Docker 推 出 更 加 高 效 、 安 全 的 方式 对 容器 进行 维护 之 前 ， 容 器 的 SSH 服 务 还 是 比较 重要 的 ， 而 且 它 对 资源 的 需求 不 高 ， 比 较 适 合 于 生产 环境 。 


第 11 章 ”Web 服务 器 与 应 用 


Web 服 务 (Web Service) 和 Web 应 用 (Web App) 是 目前 互联 网 领域 的 热门 技术 。 


本 章 将 重点 介绍 如 何 使 用 Docker 来 运行 常见 的 Web 服 务 器 (包括 Apache、Nginx、Tomcast、Weblogic) ， 以 及 一 些 常用 应 用 (包括 LAMP 和 CMS) 。 包 括 Docker 镜 像 的 构建 方法 与 使 用 。 


本 章 会 继续 展示 使 用 前 一 章 介绍 的 两 种 方法 (通过 docker commit 命 令 ， 以 及 通过 Dockerfile) 来 创建 镜像 的 过 程 。 其 中 一 些 操作 比较 简单 的 镜像 使 用 Dockerfile 来 创建 ， 而 像 Weblogic 这 样 复杂 的 应 
， 则 使 用 commit 方 式 来 创建 ， 读 者 也 可 以 根据 自己 的 需求 选择 其 他 方式 。 


通过 本 章 的 介绍 ， 将 可 以 根据 自己 的 需求 轻松 定制 Web 服 务 或 Web 应 用 镜像 。 


11.1 Apache 


Apache 是 目前 世界 使 用 排名 第 一 的 Web 服 务 器 软件 。 由 于 其 良好 的 跨 平台 和 安全 性 ，Apache 被 广泛 应 用 在 多 种 平台 和 操作 系统 上 。Apache ( 阿 帕 奇 ) 的 名 字源 自 美国 的 西南 部 一 个 印第安 人 部 落 : 
阿 帕 奇 族 。 


这 里 将 展示 笔者 使 用 Dockerfile 来 创建 带 Apache 服 务 的 Docker 镜 像 的 具体 过 程 。 


准备 工作 


首先 ， 创 建 一 个 apache_ubuntu 工 作 目 录 ， 在 其 中 创建 Dockerfile 文 件 、run.sh 文 件 和 sample 目 录 。 


$ mkdir apache ubuntu && cd apache ubuntu 
$ touch Dockerfile run.sh 
$ mkdir sample 


下 面 是 Dockerfile 的 内 容 和 各 个 部 分 的 说 明 : 


FROM sshd:dockerfile 
# 设 置 继承 自我 们 创建 的 ssho 镜 像 
MAINTAINER waitfish from dockerpool.com(dwj zz8163.com) 
# 创 建 者 的 基本 信息 
# 设 置 环境 变量 ， 所 有 操作 都 是 非 交 互 式 的 
ENV DEBIAN FRONTEND noninteractive 
# 安 装 
RUN apt-get -yq install apache2&&\ 
rm -rf /var/lib/apt/lists/* 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 
dpkg-reconfigure -f noninteractive tzdata 
# 注 意 这 里 要 更 改 系统 的 时 区 设置 ， 因 为 在 Web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 ubuntu 会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 
# 添加 我 们 的 脚本 ， 并 设置 权限 ， 这 会 覆盖 之 前 放 在 这 个 位 置 的 脚本 
ADD run.sh /run.sh 
RUN chmod 755 /*.sh 
+ 添加 一 个 示例 的 Web 站 点 ， 删 掉 默 认 安 装 在 apache 文 件 夹 下 面 的 文件 ， 并 将 我 们 添加 的 示例 用 软 链接 链 到 /var/www/html 目 录 下 面 
RUN mkdir -p /var/lock/apache2 &&mkdir -p /app && rm -fr /var/www/html && ln -s /app /var/www/html 
COPY sample/ /app 
# 设置 apache 相 关 的 一 些 变量 ， 在 容器 启动 的 时 候 可 以 使 用 -e 参 数 普 代 
ENV APACHE RUN USER www-data 
ENV APACHE RUN GROUP www-data 
ENV APACHE LOG DIR /var/log/apache2 
ENV APACHE PID FILE /var/run/apache2.pid 


ENV APACHE RUN DIR /var/run/apache2 


ENV APACHE LOCK DIR /var/lock/apache2 
ENV APACHE SERVERADMIN admin8localhost 
ENV APACHE SERVERNAME localhost 

ENV APACHE SERVERALIAS docker.localhost 
ENV APACHE DOCUMENTROOT /vax / www 

EXPOSE 80 

WORKDIR /app 

CMD ["/run.sh"] 


这 个 sample 站 点 的 内 容 很 简单 ， 就 输出 一 句 话 Hello Docker! 。 在 sample 目 录 下 创建 index.htm| 文 件 ， 内 容 为 : 


<!DOCTYPE html» 
«html» 

«body» 

<p>Hello, Docker!«/p» 
</body> 

</html> 


run.sh 脚 本 内 容 也 很 简单 ， 只 是 启动 Apache 服 务 : 


$ cat run.sh 
#!/bin/bash 
exec apache2 -D FOREGROUND 


此 时 ，apache_ubuntu 目 录 下 面 的 文件 结构 为 : 


$ tree . 


|-- Dockerfile 
|-- run.sh 
^-- sample 
^-- index.html 
1 directory, 3 files 


创建 apache: ubuntu 镜像 


使 用 docker build 命 令 创建 apache: ubuntu 镜像 ， 注 意 命令 最 后 的 “ 


$ sudo docker build -t apache:ubuntu . 
Sending build context to Docker daemon 6.144 kB 
Sending build context to Docker daemon 
Step 0 : FROM sshd:dockerfile 

---» 570c26a9de68 
Step 1 : MAINTAINER waitfish from dockerpool.com(dwj zz8163.com) 
---» Using cache 

---» 5c6b90057ald 
Step 2 : ENV DEBIAN FRONTEND noninteractive 
---» Using cache 

---» e06feb0790q07 
Step 3 : RUN apt-get -yq install apache2&& rm -rf /var/lib/apt/lists/* 
» Using cache 

---» 54e5665500b9 

Step 4 : RUN echo "Asia/Shanghai" » /etc/timezone && dpkg-reconfigure -f noninteractive tzdata 
---» Running in 8clad26742bc 

Current default time zone: 'Asia/Shanghai' 

Local time is now: Mon Oct 27 20:19:19 CST 2014. 
Universal Time is now: Mon Oct 27 12:19:19 UTC 2014. 
---» 04d64839c7b3 
Removing intermediate container 8clad26742bc 
Step 5 : ADD run.sh /run.sh 

---» f995bd0d6f89 
Removing intermediate container f372648d02d9 
Step 6 : RUN chmod 755 /*.sh 
» Running in ae60847251c8 

---» 2e0a58be0f9c 
Removing intermediate container ae60847251c8 
Step 7 : RUN mkdir -p /var/lock/apache2 &&mkdir -p /app && rm -fr /var/www/html && ln -s /app /var/www/html 
---» Running in d5355f5e2992 

---» 6e96f581ee0d 
Removing intermediate container d5355f5e2992 
Step 8 : COPY sample/ /app 

-=--> c048a78cl17fd 
Removing intermediate container 2461604081e3 
Step 9 : ENV APACHE RUN USER www-data 

---» Running in c9c6c12d1982 

---» 5cd772b48df2 
Removing intermediate container c9c6c12d1982 
Step 10 : ENV APACHE RUN GROUP www-data 

---» Running in b179ff1391c8 

---» 47d9bl7eaec3 
Removing intermediate container b179ff1391c8 
Step 11 : ENV APACHE LOG DIR /var/log/apache2 
---» Running in a3daf191e6b2 

---» 8d56f68dbfc6 
Removing intermediate container a3dafl191e6b2 
Step 12 : ENV APACHE PID FILE /var/run/apache2.pid 
---» Running in 92401abldbee 

-=--> 27f2ddba296e 
Removing intermediate container 92401abldbee 
Step 13 : ENV APACHE RUN DIR /var/run/apache2 
---» Running in 76c6e7401eca 

---» 6d0e7acaf398 
Removing intermediate container 76c6e7401eca 
Step 14 : ENV APACHE LOCK DIR /var/lock/apache2 
---» Running in a9c46477ebe9 

---» 1f352c682635 
Removing intermediate container a9c46477ebe9 
Step 15 : ENV APACHE SERVERADMIN admin8localhost 
---» Running in 3d0d8506856c 

---» 61949964bb34 
Removing intermediate container 3d0d8506856c 
Step 16 : ENV APACHE SERVERNAME localhost 

---» Running in 405884f45d23 

---» 88f25f8e2609 
Removing intermediate container 405884f45d23 
Step 17 : ENV APACHE SERVERALIAS docker.localhost 
---» Running in 0528963fade4 

=--> 693cc00c91fe 
Removing intermediate container 0528963fade4 
Step 18 : ENV APACHE DOCUMENTROOT /var/www 
> Running in 2c38a2ca6d14 

---» d8649b79e085 
Removing intermediate container 2c38a2ca6d14 
Step 19 : EXPOSE 80 

---» Running in cab967780756 

---» 682d055d6f15 
Removing intermediate container cab9677d0756 
Step 20 : WORKDIR /app 

---» Running in 641c59ded9da 

---» 5b08d6572b75 
Removing intermediate container 641c59ded9da 
Step 21 : CMD /run.sh 

---» Running in ee18331b3e69 


---» 1d865e3032d7 
Removing intermediate container ee18331b3e69 
Successfully built 1d865e3032d 


此 时 镜像 已 经 创建 成 功 了 。 下 面 ， 查 看 本 地 已 有 的 镜像 列表 ， 读 者 可 见 新 增 的 apache: ubuntu 镜像 : 


$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
apache ubuntu 1d865e3032d7 46 seconds ago 263.8 MB 
sshd dockerfile 5770c26a9de68 9 hours ago 246.5 MB 
sshd ubuntu 7aef2cd95fd0 21 hours ago 255.2 MB 
debian latest 61f7f4f722fb 6 days ago 85.1 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu 14.04 ba5877dc9bec 3 months ago 192.7 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 
测试 镜像 


运行 镜像 ， 并 使 用 -P 参 数 映射 需要 开放 的 端口 (22 和 80 端 口 ) : 


只 


$ sudo docker run -d -P apache:ubuntu 
64681e2ae943f18eae9f599dbc43b5£44489090bdca3d8af641d7b371c124acfd 
$ sudo docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

64681e2ae943 apache:ubuntu "/run.sh" 2 seconds ago Up 1 seconds 0.0.0.0:49171-222/tcp, 0.0.0.0:49172-580/tcp | naughty poincare 
890c04ff8d76 sshd:dockerfile "/run.sh" 9 hours ago Exited (0) 3 hours ago  0.0.0.0:101-»22/tcp high albattani T 
3ad7182aa47f sshd:ubuntu "/run.sh" 21 hours ago Exited (0) 3 hours ago 0.0.0.0:100->22/tcp focused ptolemy 


在 本 地 主机 上 用 curl 抓 取 网 页 来 验证 刚才 创建 的 sample 站 点 : 


$ curl 127.0.0.1:49172 
Hello Docker! 


读者 也 可 以 在 其 他 设备 上 通过 访问 宿主 主机 ip: 49172 来 访问 sample 站 点 。 


Dockerfile 创 建 的 镜像 拥有 继承 的 特性 


不 知道 有 没有 细心 的 读者 发 现 ， 在 apache 镜 像 的 Dockerfile 中 只 用 EXPOSE 定 义 了 对 外 开放 的 80 端 口 ， 而 在 sudo docker ps-a 命 令 的 返 


回 


中 ， 却 看 到 新 启动 的 容器 映射 了 两 个 端口 : 22 和 80。 


但 是 实际 上 ， 当 尝试 使 用 SSH 登 录 到 容器 时 ， 会 发 现 无 法 登录 。 


这 是 因为 在 run.sh 脚 本 中 并 未 启动 SSH 服 务 。 


这 说 明 在 使 用 Dockerfile 创 建 镜像 时 ， 会 继承 父 镜像 的 开放 端口 ， 但 却 不 会 继承 启动 命令 。 因 此 ， 需 要 在 run.sh 脚 本 中 添加 启动 shd 的 服务 的 命令 : 


$ cat run.sh 

1! /bin/bash 
/usr/sbin/sshd & 

exec apache2 -D FOREGROUND 


再 次 创建 镜像 : 


$ sudo docker build -t apache:ubuntu . 


这 次 创建 的 镜像 将 默认 会 同时 启动 SSH 和 Apache 服 务 。 


映射 本 地 目录 


可 以 通过 映射 本 地 目录 的 方式 来 指定 容器 内 Apache 服 务 响应 的 内 容 ， 例 如 映射 本 地 主机 上 当前 目录 下 的 www 目 录 到 容器 内 的 /var/www 目 录 : 


$ sudo docker run -i -d -p 80:80 -p 103:22 -e APACHE SERVERNAME-test -v "pwd'/www:/var/www:ro apache:ubuntu 


在 当前 目录 内 创建 www 目 录 ， 并 放 上 自 定义 的 页 面 index.html， 内 容 为 : 


<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"» 

«html»«head» 

«title»Hi Docker«/title» 

«/head»«body» 

«hl»Hi Docker«/hl» 

<p>This is the first day I meet the new world.«/p» 

<p>How are you?X/p» 

«hr» 

«address»Apache/2.4.7 (Ubuntu) Server at 127.0.0.1 Port 80«/address» 
«/body»«/html» 


在 本 地 主机 上 可 访问 测试 容器 提供 的 Web 服 务 ， 查 看 获取 内 容 为 新 配置 的 index.html 页 


T 
8n 


11.2 Nginx 


Nginx 是 一 个 高 性 能 的 Web 和 反 向 代理 服务 器 ， 它 具有 很 多 非常 优越 的 特性 : 


“ 作为 Web 服 务 器 : 相 比 Apache，Nginx 使 用 更 少 的 资源 ， 支 持 更 多 的 并 发 连接 ， 体 现 更 高 的 效率 ， 这 点 使 Nginx 尤 其 受到 虚拟 主机 提供 商 的 欢迎 。 一 个 Nginx 实 例 能 够 轻松 支持 高 达 50000 个 并 发 连接 数 的 
响应 。 


“ 作为 负载 均衡 服务 器 : Nginx 既 可 以 在 内 部 直接 支持 Rails 和 PHP， 也 可 以 支持 作为 HTTP 代 理 服务 器 对 外 进行 服务 。Nginx 用 C 编 写 ， 不 论 是 系统 资源 开销 还 是 CPU 使 用 效率 都 比 Pedbal 要 好 得 多 。 


“ 作为 邮件 代理 服务 器 : Nginx 同 时 也 是 一 个 非常 优秀 的 邮件 代理 服务 器 (最 早 开发 这 个 产品 的 目的 之 一 也 是 作为 邮件 代理 服务 器 ) ，Last.fm 描 述 了 成 功 并 且 美 妙 的 使 用 经 验 。 


“ Nginx 安 装 非常 简单 ， 配 置 文件 非常 简洁 (还 能 够 支持 Perl 语 法 ) ，Bug 非 常 少 。Nginx 启 动 特别 容易 ， 并 且 几 乎 可 以 做 到 7X24 不 间断 运行 ， 即 使 运行 数 个 月 也 不 需要 重新 启动 。 你 还 能 够 在 不 间断 服务 
的 情况 下 进行 软件 版 本 的 升级 。 


本 节 将 首先 介绍 Nginx 官 方 发 行 版 本 的 镜像 生成 ， 然 后 介绍 在 国内 应 用 量 众多 的 Nginx 淘 宝 增强 版 一 一 Tengine 镜 像 的 生成 。 


Nginx 官 方 版 本 


由 于 使 用 Dockerfile 生 成 镜像 的 步骤 大 多 类 似 。 为 了 节约 篇 幅 ， 这 里 直接 介绍 使 用 的 Dockerfile 文 件 和 需要 的 脚本 文件 ， 如 果 读 者 对 使 用 Dockerfile 创 建 镜像 的 步 又 还 有 不 清楚 的 地 方 ， 可 以 查看 第 一 部 
分 中 关于 Dockerfile 的 介绍 章节 和 上 一 小 节 Apache 镜 像 的 创建 过 程 。 


1.Nginx Dockerfile 


# 设 置 继承 自 创 建 的 ssho 镜 像 
FROM sshd:dockerfile 
# 下 面 是 一 些 创建 者 的 基本 信息 
MAINTAINER waitfish from dockerpool.com(dwj zz8163.com) 
# 安 装 nginx， 设 置 nginx 以 非 daemon 启 动 。 
RUN \ 

apt-get install -y nginx && V 

rm -rf /var/lib/apt/lists/* && N 

echo "Andaemon off;" >> /etc/nginx/nginx.conf && \ 

chown -R www-data:www-data /var/lib/nginx 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 

dpkg-reconfigure -f noninteractive tzdata 

# 注 意 这 里 要 更 改 系统 的 时 区 设置 ， 因 为 在 Web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 ubuntu 会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 
3 添加 我 们 的 脚本 ， 并 设置 权限 ， 这 会 覆盖 之 前 放 在 这 个 位 置 的 脚本 
ADD run.sh /run.sh 
RUN chmod 755 /* .sh 
# 定义 可 以 被 挂 载 的 目录 ， 分 别 是 虚拟 主机 的 挂 载 目录 、 证 书目 录 、 配 置 目录 和 日 志 目 录 
VOLUME ["/etc/nginx/sites-enabled", "/etc/nginx/certs", "/etc/nginx/conf.d", "/var/log/nginx"] 
+ 定义 工作 目录 
WORKDIR /etc/nginx 
# 定义 输出 命令 
CMD ["/run.sh"] 
+ 定义 输出 端口 
EXPOSE 80 
EXPOSE 443 


2. 查 看 run.sh 脚 本 文件 内 容 


$ cat run.sh 
#!/bin/bash 
/usr/sbin/sshd & 
/usr/sbin/nginx 


3. 创 建 镜像 


使 用 docker build 命 令 ， 创 建 镜像 nginx: stable: 


$ sudo docker build -t nginx:stable . 

Sending build context to Docker daemon 4.096 kB 
Sending build context to Docker daemon 

Step 0 : FROM sshd:dockerfile 

---» 570c26a9de68 

Step 1 : MAINTAINER waitfish from dockerpool.com(dwj zz80163.com) 
---» Using cache 

---» 5c6b90057aid 

Step 2 : RUN apt-get install -y nginx && rm -rf /var/lib/apt/lists/* && ^ echo "Andaemon off;" >> /etc/nginx/nginx.conf && chown -R www-data:www-data /var/lib/nginx 
-» Using cache 

---» 719149a429c7a 

Step 3 : ADD run.sh /run.sh 

---» ab728235e438 

Removing intermediate container 5c16bf1046aa 
Step 4 : RUN chmod 755 /*.sh 

---» Running in a0c0bO0ec6bcc 

---» 8d3262eaf1b8 

Removing intermediate container a0c0b0ec6bcc 
Step 5 : VOLUME /etc/nginx/sites-enabled /etc/nginx/certs /etc/nginx/conf.d /var/log/nginx 
---» Running in 6966fb517eed 

-=--> 3b64e8cb7119 

Removing intermediate container 6966fb517eed 
Step 6 : WORKDIR /etc/nginx 

---» Running in 391a05606082 

---» 666fb7e351fe 

Removing intermediate container 391a0Db606082 
Step 7 : CMD /run.sh 

---» Running in 9f1e239daf52 

---» elcOb7bde8cf 

Removing intermediate container 9f1e239daf52 
Step 8 : EXPOSE 80 

---» Running in 36d7b8f0e7cf 

---» fccd40af3367 

Removing intermediate container 36d7b8f0e7cf 
Step 9 : EXPOSE 443 

-=--> Running in 84095d6a71c2 

---» 4e3936e36e31 

Removing intermediate container 84095d6a71c2 
Successfully built 4e3936e36e3 


4 测试 


启动 容器 ， 查 看 内 部 的 80 端 口 被 映射 到 本 地 的 49193 端 


$ sudo docker run -d -P nginx:stable 
08c456536e69c8e36670£3bc6b496020e76d28£c9d33a8bca01f£f6d61bc72c4a 
$ sudo docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
08c456536e69 nginx:stable "/run.sh" 8 seconds ago Up 8 seconds 0.0.0.0:49191-522/tcp, 0.0.0.0:49192-»443/tcp, 0.0.0.0:49193-580/tcp 
访问 本 地 的 49193 端 


$ curl 127.0.0.1:49193 


返回 Nginx 的 欢迎 页 面 ， 说 明 Nginx 已 经 正常 启动 了 : 


<!DOCTYPE html» 

<html> 

<head> 

<title>Welcome to nginx!</title> 


«style» 
body ( 
width: 35em; 
margin: 0 auto; 
font-family: Tahoma, Verdana, Arial, sans-serif; 
} 
</style> 
</head> 
<body> 
«hl»Welcome to nginx!«/hl» 
<p>If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required.«/p» 
Xp»For online documentation and support please refer to 
«a href-"http://nginx.org/"»nginx.org«/a».«br/» 
Commercial support is available at 
«a href-"http://nginx.com/"»nginx.com«/a».«/p» 
«p»«em»Thank you for using nginx.«/em»«/p» 
</body> 
</html> 


最 后 ， 为 了 能 充分 发 挥 Nginx 的 性 能 ， 可 对 系统 内 核 参数 做 一 些 调整 。 


下 面 是 一 份 常见 的 Nginx 内 核 的 优化 参数 : 


net.ipv4.ip forward = 0 
net.ipv4.conf.default.rp filter = 1 
net.ipv4.conf.default.accept source route - 0 
kernel.sysrq = 0 7 T 
kernel.core_uses_pid = 1 
net.ipv4.tcp_syncookies = 1 
kernel.msgmnb = 65536 

kernel.msgmax = 65536 

kernel.shmmax = 68719476736 
kernel.shmall = 4294967296 
net.ipv4.tcp_max tw_buckets = 6000 
net.ipv4.tcp_sack = 1 
net.ipv4.tcp window scaling = 1 
net.ipv4.tcp rmem = 4096 87380 4194304 
net.ipv4.tcp wmem = 4096 16384 4194304 
net.core.wmem default = 8388608 
net.core.rmem default - 8388608 
net.core.rmem max = 16777216 
net.core.wmem max = 16777216 
net.core.netdev max backlog = 262144 
net.core.somaxconn = 262144 
net.ipv4.tcp max orphans - 3276800 
net.ipv4.tcp max syn backlog - 262144 
net.ipv4.tcp timestamps = 0 
net.ipv4.tcp synack retries = 1 
net.ipv4.tcp syn retries = 1 
net.ipv4.tcp tw recycle = 1 
net.ipv4.tcp tw reuse = 1 
net.ipv4.tcp mem = 94500000 915000000 927000000 
net.ipv4.tcp fin timeout = 1 
net.ipv4.tcp keepalive time = 30 
net.ipv4.ip local port range = 1024 65000 


Tengine 镜 像 


1.Tengine Dockerfile 


# 设 置 继承 自我 们 创建 的 ssho 镜 像 
FROM sshd:dockerfile 
# 下 面 是 一 些 创建 者 的 基本 信息 
MAINTAINER waitfish from dockerpool.com(dwj zz8163.com) 
# Let the conatiner know that there is no tty 
# 安装 编译 环境 
RUN apt-get install -y build-essential debhelper make autoconf automake patch 
RUN apt-get install -y dpkg-dev fakeroot pbuilder gnupg dh-make libssl-dev libpcre3-dev git-core 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 
dpkg-reconfigure -f noninteractive tzdata 
# 注 意 这 里 要 更 改 系统 的 时 区 设置 ， 因 为 在 Web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 ubuntu 会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 
# 创 建 Nginx 用 户 
RUN adduser --disabled-login --gecos 'Tengine' nginx 
# tengine 安 装 的 shel1 脚 本 
WORKDIR /home/nginx 
RUN su nginx -c 'git clone https://github.com/alibaba/tengine.git' 
WORKDIR /home/nginx/tengine 
RUN su nginx -c 'mv packages/debian . 
ENV DEB BUILD OPTIONS nocheck 
RUN su nginx -c 'dpkg-buildpackage -rfakeroot -uc -b' 
WORKDIR /home/nginx 
RUN dpkg -i tengine 2.0.2-1 amd64.deb 
# 定义 挂 载 的 目录 
VOLUME ["/data", "/etc/nginx/sites-enabled", "/var/log/nginx"] 
# 让 Nginx 运 行 在 排 Daemon 模 式 
RUN echo "\ndaemon off;" >> /etc/nginx/nginx.conf 
+ 定义 工作 目录 
WORKDIR /etc/nginx 
# 添加 我 们 的 脚本 ， 并 设置 权限 ， 这 会 覆盖 之 前 放 在 这 个 位 置 的 脚本 
ADD run.sh /run.sh 
RUN chmod 755 /* .sh 
# 定义 输出 命令 
CMD ["/run.sh"] 
# 定义 输出 端口 
EXPOSE 80 
EXPOSE 443 


2. 查 看 run.sh 脚 本 文件 内 容 


$ cat run.sh 
#!/bin/bash 
/usr/sbin/sshd & 
/usr/sbin/nginx 


3. 创 建 过 程 


$ sudo docker build -t nginx:albb . 


4 测试 


启动 一 个 容器 ， 并 查看 端口 映射 信息 : 


$ sudo docker run -d -P nginx:albb 

ff£4650e77c53b174a10b4cd29533def fad889458f88d98c4443ac3654b01552a 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


ff4650e77c53 nginx:albb "/run.sh" 3 seconds ago Up 2 seconds 0.0.0.0:49194-2443/tcp, 0.0.0.0:49195-280/tcp, 0.0.0.0:49196-222/tcp ^ furious wright 
08c456536e69 nginx:stable "/run.sh" 13 minutes ago Up 13 minutes 0.0.0.0:49191-222/tcp, 0.0.0.0:49192-2443/tcp, 0.0.0.0:49193-280/tcp | romantic curie 
ffd58545b787 apache:ubuntu "/run.sh" About an hour ago Up About an hour 0.0.0.0:49177-222/tcp, 0.0.0.0:49178-280/tcp jovial galileo 


访问 本 地 的 49195 端 口 进行 测试 


$ curl 127.0.0.1:49195 


返回 的 内 容 是 淘宝 版 本 的 Nginx 特 有 的 页 面 


<!DOCTYPE html> 


<html> 
<head> 
<title>Welcome to tengine!</title> 
<style> 
body { 
width: 35em; 
margin: 0 auto; 
font-family: Tahoma, Verdana, Arial, sans-serif; 
} 
</style> 
</head> 
<body> 


<hl>Welcome to tengine!«/hl» 

<p>If you see this page, the tengine web server is successfully installed and 
working. Further configuration is required.</p> 

<p>For online documentation and support please refer to 

«a href="http://tengine.taobao.org/">tengine.taobao.org</a>.</p> 

<p><em>Thank you for using tengine.</em></p> 

</body> 

</html> 


5. 进 入 容器 查看 创建 的 容器 信息 


可 以 使 用 docker exec 命 令 进入 刚 启 动 的 Tengine 容 器 ， 查 看 建立 容器 后 默认 运行 的 进程 和 默认 映射 的 端 


$ sudo docker exec -ti ff4 /bin/bash 
root@ff4650e77c53:/etc/nginx# ps -ef 


UID PID PPID C STIME TTY TIME CMD 

root 1 0 0 15:09 ? 00:00:00 /bin/bash /run.sh 

root dh i 0 15:09 ? 00: 00 nginx: master process /usr/sbin/nginx 
nginx 12 11 0 15:09 ? 00:00:00 nginx: worker process 

root 13 1 0 ? 0 0 /usr/sbin/sshd 

m 14 0 1 ? 0 0 /bin/bash 

roo 23 14 0 15:09 ? 00: 00 ps -ef 


XOOtBf 46508 77c53: /etc/nginxf netstat -tunlp 
Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN  - 
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN  - 
tcp6 0 0 : : LISTEN - 


查看 Tengine 的 编译 参数 和 模块 特性 : 


rooteff4650e77c53: /etc/nginx# nginx -V 
Tengine version: Tengine/2.0.3 (nginx/1.6.1) 
built by gcc 4.8.2 (Ubuntu 4.8.2-19ubuntul) 
TLS SNI support enabled 
configure arguments: --prefix-/etc/nginx --sbin-path-/usr/sbin/nginx --conf-path-/etc/nginx/nginx.conf --error-log-path-/var/log/nginx/error.log --http-log-path-/var/log/nginx/ 
loaded modules: 

ngx core module (static) 

ngx errlog module (static) 

ngx conf module (static) 

ngx dso module (static) 

ngx syslog module (static) 

ngx events module (static) 

ngx event core module (static) 

ngx epoll module (static) 

ngx procs module (static) 

ngx proc core module (static) 

ngx openssl module (static) 

ngx regex module (static) 

ngx http module (static) 

ngx http core module (static) 

ngx http log module (static) 

ngx http upstream module (static) 

ngx http spdy module (static) 

ngx http static module (static) 

ngx http gzip static module (static) 

ngx http dav module (static) 

ngx 1 | http ~ autoindex module (static) 

ngx http index module (static) 

ngx http random index module (static) 

ngx http auth basic module (static) 

ngx http access module (static) 

ngx http limit conn module (static) 

ngx http limit req module (static) 

ngx http realip module (static) 

ngx http geo module (static) 

ngx http map module (static) 

ngx http split clients module (static) 

ngx http referer module (static) 

ngx http rewrite module (static) 

ngx http ssl module (static) 

ngx | http proxy 1 module (static) 

ngx http fastcgi module (static) 

ngx http 1 uwsgi 1 module (static) 

ngx http scgi module (static) 

ngx http memcached module (static) 

ngx http empty gif module (static) 

ngx http browser module (static) 

ngx http user agent module (static) 

ngx http secure link module (static) 

ngx http flv module (static) 

ngx http mp4 module (static) 

ngx http upstream ip hash module (static) 

ngx http upstream consistent hash module (static) 

ngx http upstream check module (static) 

ngx http upstream least conn module (static) 

ngx http reqstat module (static) 

ngx http upstream keepalive module (static) 

ngx http upstream dynamic module (static) 

ngx http stub status module (static) 

ngx http | write filter module (static) 

ngx http header filter module (static) 

ngx http chunked filter module (static) 

ngx http spdy filter module (static) 

ngx http : range | header filter module (static) 

ngx http gzip filter module (static) 

ngx http postpone : filter module (static) 

ngx http ssi filter module (static) 

ngx http charset filter module (static) 

ngx http sub filter module (static) 

ngx http addition filter module (static) 


ngx http gunzip filter module (static) 

ngx 1 | http userid filter module (static) 

ngx 1 | http footer filter module (static) 

ngx http trim filter module (static) 

ngx 1 | http headers . filter r module (static) 

ngx http upstream : session sticky module (static) 

ngx http copy filter module (static) 

ngx http range body : filter module (static) 

ngx 1 | http not modified : filter ı module (static) 

ngx mail module (static) 

ngx I | mail core module (static) 

ngx mail ssl module (static) 

ngx | mail pop3 1 module (static) 

ngx mail imap module (static) 

ngx mail smtp module (static) 

ngx I | mail auth | | http module (static) 

ngx | mail proxy module (static) 
root8ff4650e77c53:/etc/nginxt& 


11.3 Tomcat 


Tomcat 服 务 器 是 一 个 免费 的 开放 源 代 码 的 Web 应 用 服务 器 ， 属 于 轻 量 级 应 用 服务 器 ， 在 中 小 型 系统 和 并 发 访问 用 户 不 是 很 多 的 场合 下 普遍 使 用 ， 是 开发 和 调试 JSP 程 序 的 首选 。 


Tomcat 最 初 是 由 Sun 的 软件 构架 师 和 詹姆斯 .邓肯 .戴维森 开发 的 。 后 来 在 他 的 帮助 下 Tomcat 成 为 开源 项 目 ， 并 由 Sun 贡 献 给 Apache 软 件 基金 会 


当 配 置 正确 时 ，Apache 为 HTML 页 面 服务 ， 而 Tomcat 实 际 上 运行 JSP 页 面 和 Servlet。 另 外 ，Tomcat 和 11S 等 Web 服 务 器 一 样 ， 具 有 处 理 HTML 页 面 的 功能 (但 处 理 静 态 HTML 的 能 力 不 如 Apache) , 
另外 它 还 是 一 个 Servlet 和 JSP 容 器 ， 独 立 的 Servlet 容 器 是 Tomcat 的 默认 模式 。 


设计 Tomcat 的 Dockerfile 


首先 ， 尝 试 在 Dockerhub 上 搜索 Tomcat 相 关 镜 像 的 个 数 : 


$ sudo docker search tomcat |wc -1 
285 


可 以 看 到 ， 已 经 有 285 个 相关 镜像 。 如 是 个 人 开发 或 测试 ， 可 以 随意 选择 一 个 镜像 ， 按 照 提示 启动 应 用 即 可 。 若 准备 在 生产 环境 中 使 用 ， 这 些 镜像 都 不 是 那么 合适 了 。 原 因 有 三 个 方面 : 
项 目 需要 的 Tomcat 版 本 可 能 不 同 。 
项 目 需要 的 Tomcat 变 量 不 一 致 。 


项 目 需要 的 JDK 可 能 不 一 致 。 


因此 ， 比 较 好 的 方式 应 该 是 由 架构 师 通过 Dockerfile 或 者 其 他 方式 构建 好 统一 的 镜像 ， 然 后 分 发 给 项 目 组 所 有 成 员 来 进行 。 


下 面 以 sun_jdk 1.6, tomcat 7.0, ubuntu 14.04 为 环境 介绍 如 何 定制 自己 的 tomcat 镜 像 。 


准备 工作 


创建 tomcat7.0_jdk1.6 文 件 夹 ， 从 www.oracle.com 上 下 载 sun_jdk 1.6 压 缩 包 ， 解 压 为 jdk 目 录 。 


创建 Dockerfile 和 run.sh 文 件 : 


$ mkdir tomcat7.0_jdk1.6 
$ cd tomcat7.0_jdk1.6/ 
$ touch Dockerfile run.sh 


下 载 Tomcat， 可 以 到 官方 网 站 下 载 最 新 的 版 本 ， 也 可 以 直接 使 用 下 面 链接 中 给 出 的 版 本 : 


$ wget http: //mirror.bit.edu.cn/apache/tomcat/tomcat-7/v7.0.56/bin/apache-tomcat-7.0.56.zip 

—-2014-10-27 22:25:23-- http://mirror.bit.edu.cn/apache/tomcat/tomcat-7/v7.0.56/bin/apache-tomcat-7.0.56.zip 

Resolving mirror.bit.edu.cn (mirror.bit.edu.cn)http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 219.143.204.117, 200 
Connecting to mirror.bit.edu.cn (mirror.bit.edu.cn)|219.143.204.117|:80http: // /www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/. 
HTTP request sent, awaiting responsehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 200 OK 

Length: 9466255 (9.0M) [application/zip] T 

Saving to: 'apache-tomcat-7.0.56.zip' 

MODI c "'———— ——X——— 4 10 9, 466, 255 152KB/s in 70s 

2014-10-27 22:26:34 (131 KB/s) - 'apache-tomcat-7.0.56.zip' saved [9466255/9466255] 


解压 后 ，tomcat7.0 jdk1.6 目 录 底 下 应 如 下 所 示 (多 余 的 压缩 包 文件 已 经 被 删除 ) : 


$ 1s 
Dockerfile  apache-tomcat-7.0.56  jdk run.sh 


Dockerfile 文 件 和 其 他 脚本 文件 


Dockerfile 文 件 内 容 如 下 : 


FROM sshd:dockerfile 
# 设 置 继承 自我 们 创建 的 ssho 镜 像 
MAINTAINER waitfish from dockerpool.com(dwj zz8163.com) 
# 下 面 是 一 些 创建 者 的 基本 信息 
# 设 置 环 境 变量 ， 所 有 操作 都 是 非 交 互 式 的 
ENV DEBIAN FRONTEND noninteractive 
RUN echo "Asia/Shanghai" » /etc/timezone && V 
dpkg-reconfigure -f noninteractive tzdata 
# 注 意 这 里 要 更 改 系统 的 时 区 设置 ， 因 为 在 Web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 ubuntu 会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 
# 安 装 跟 tomcat 用 户 认证 相关 的 软件 
RUN apt-get install -yq --no-install-recommends wget pwgen ca-certificates && V 
apt-get clean && V 
rm -rf /var/lib/apt/lists/* 
# 设 置 tomcat 的 环境 变量 ， 若 读者 有 其 他 的 环境 变量 需要 设置 ， 也 可 以 在 这 里 添加 。 
ENV CATALINA BOE ea 
ENV JAVA HOME /j 
# 复 制 t E ETS 


ADD apache-tomcat-7.0.56 /tomcat 
ADD jdk /jdk 


ADD create tomcat admin user.sh /create tomcat admin user.sh 


ADD run.sh /run.sh 

RUN chmod +x /*.sh 

RUN chmod *x /tomcat/bin/*.sh 
EXPOSE 8080 

CMD ["/run.sh"] 


创建 tomcat 用 户 和 密码 脚本 文件 create_tomcat_admin_user.sh 文 件 ， 内 容 为 : 


#!/bin/bash 

if [ -f /.tomcat admin created ]; then 
echo "Tomcat 'admin' user already created" 
exit 0 

fi 

#generate password 

PASS=$ {TOMCAT PASS:-$(pwgen -s 12 1)} 

word 

echo 


CE S$(TOMCAT PASS] ] && echo "preset" || echo "random" ) 
Creating and admin user with a $( word) password in Tomcat" 


sed -i -r 's/«M/tomcat-users»//' $(CATALINA HOME)/conf/tomcat-users.xml 


echo '«role 
echo '«role 
echo '«role 
echo '«role 
echo '«role 


manager-gui"/»' >> $(CATALINA HOME)/conf/tomcat-users.xml 
manager-script"/»' >> $(CATALINA HOME)/conf/tomcat-users.xml 
manager-jmx"/»' >> $(CATALINA HOME)/conf/tomcat-users.xml 
admin-gui"/»' >> S(CATALINA HOME)/conf/tomcat-users.xml 
admin-script"/»' >> $(CATALINA HOME) /conf/tomcat-users.xml 
echo "«user username-V"adminV'" password-V'S(PASS]N" roles-V'manager-gui, manager-script, manager-jmx, admin-gui, 


echo '«/tomcat-users»' >> $(CATALINA HOME)/conf/tomcat-users.xml 


echo "=> Done!" 
touch /.tomcat admin created 


[Xe 
echo "You can now configure to this Tomcat server using:" 
echo "" 

echo admin:$(PASS])" 


echo 


echo “一 -一 


admin-script\"/>" >> $(CATALINA HOME)/conf/tomcat-users.xml 


编写 run.sh 脚 本 文件 ， 内 容 为 : 


#!/bin/bash 

if [ ! -f /.tomcat admin created ]; then 
/create tomcat admin user.sh 

fi 

/usr/sbin/sshd -D & 

exec S(CATALINA HOME)/bin/catalina.sh run 


创建 和 测试 镜像 


通过 下 面 的 命令 创建 镜像 tomcat7.0:jdk1.6: 


$ sudo docker build -t tomcat7.0:jdkl.6 . 
Sending build context to Docker daemon 234.8 MB 
Sending build context to Docker daemon 

Step 0 : FROM sshd:dockerfile 

---» 570c26a9de68 


Step 1 : MAINTAINER waitfish from dockerpool.com(dwj zz80163.com) 


---» Using cache 

---» 5c6b90057aid 

Step 2 : ENV DEBIAN FRONTEND noninteractive 

---» Using cache 

---» e06feb0790qd7 

Step 3 : RUN echo "Asia/Shanghai" » /etc/timezone && 
---» Running in 6dba2d312627 

Current default time zone: 'Asia/Shanghai' 

Local time is now: Tue Oct 28 13:47:08 CST 2014. 
Universal Time is now: Tue Oct 28 05:47:08 UTC 2014. 
---» aldccb384edb 

Removing intermediate container 6dba2d312627 


http://www .hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


dpkg-reconfigure -f noninteractive tzdata 


Setting up pwgen (2.06-1ubuntu4) http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


---» e0e4abli8cda 

Removing intermediate container aee38d8ab936 
Step 5 : ENV CATALINA HOME /tomcat 

---» Running in 8d0d7176fb7e 

---» e4d8891f4e86 

Removing intermediate container 8d0d7176fb7e 
Step 6 : ENV JAVA HOME /jdk 

---» Running in 53celfa9b8a0 

---» f17a13a87981 

Removing intermediate container 53celfa9b8a0 
Step 7 : ADD apache-tomcat-7.0.56 /tomcat 
---> calfa71b4130 

Removing intermediate container 27e2d96bcb78 
Step 8 : ADD jdk /jdk 

---» d7a595c4c4f9 

Removing intermediate container 00d980ad2cad 


Step 9 : ADD create tomcat admin user.sh /create tomcat admin user.sh 


=--> 5055ca84decc 
Removing intermediate container 220922d934ce 
Step 10 : ADD run.sh /run.sh 

---> da469edb1022 
Removing intermediate container f0dde8563174 
Step 11 : RUN chmod +x /*.sh 

---» Running in 71564c350a2e 

=--> 5£566293e37c 
Removing intermediate container 71564c350a2e 
Step 12 : EXPOSE 8080 

---» Running in 055c41de3bd8 

===> b1213clbc920 

Removing intermediate container 055c41de3bd8 
Step 13 : CMD /run.sh 

---» Running in 5dbe1220a559 

-=--> ce78537c247d 

Removing intermediate container 5dbe1220a559 
Successfully built ce78537c247d 


查看 下 目前 本 地 拥有 的 镜像 : 


$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
tomcat7.0 jdkl.6 ce78537c247d 9 minutes ago 473.3 MB 
nginx albb 8e333a6f1d10 14 hours ago 567.6 MB 
nginx stable 4e3936e36e31 15 hours ago 262.3 MB 
apache ubuntu 06384c79e905 16 hours ago 263.8 MB 
sshd dockerfile 570c26a9de68 26 hours ago 246.5 MB 
sshd ubuntu 7aef2cd95fd0 39 hours ago 255.2 MB 
debian latest 61f7f4f722fb 7 days ago 85.1 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu 14.04 ba5877dc9bec 3 months ago 192.7 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 


启动 一 个 tomcat 容 器 进行 测试 : 


$ sudo docker run -d -P tomcat7.0:jdk1.6 
3cd4238cb32a713a3a1c29d93fbfc80cba150653b5eb8bd7629bee957e7378ed 


通过 docker logs 得 到 tomcat 的 密码 aBWwNOCNCPckw: 


$ sudo docker logs 3cd 
=> Creating and admin user with a random password in Tomcat 
=> Done! 


You can now configure to this Tomcat server using: 
admin:aBwNOCNCPCkw 


Oct 28, 2014 2:02:24 PM org.apache.catalina.core.AprLifecycleListener init 

INFO: The APR based Apache Tomcat Native library which allows optimal performance in production environments was not found on the java.library.path: /jdk/jre/lib/amd64/server:/ 
Oct 28, 2014 2:02:24 PM org.apache.coyote.AbstractProtocol init 

INFO: Initializing ProtocolHandler ["http-bio-8080"] 

Oct 28, 2014 2:02:24 PM org.apache.coyote.AbstractProtocol init 

INFO: Initializing ProtocolHandler ["ajp-bio-8009"] 

Oct 28, 2014 2:02:24 PM org.apache.catalina.startup.Catalina load 


查看 映射 的 端口 信息 : 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

3cd4238cb32a tomcat7.0:jdkl.6 "/run.sh" 4 seconds ago Up 3 seconds 0.0.0.0:49157-222/tcp, 0.0.0.0:49158-28080/tcp cranky wright 


在 本 地 使 用 浏览 器 登录 Tomcat 管 理 界面 ， 请 访问 http://127.0.0.1:49158: 如 图 11-1 所 示 。 


Find Help 


Apache Tomcat/7.0.56 ier" Apache Software Foundation 


http://www.apache.org/ 


Home Documentation Configuration Examples Wiki Mailing Lists 


Server Status 


perm 


Developer Quick Start 


Tomcat Setup 
First Web Applicati 


图 11-1 Tomcat 管 理 界 面 


输入 从 docker logs 中 得 到 的 密码 ， 如 图 11-2 所 示 。 


需要 验证 w o yY 


http://192.168.1,134:49158 请 求 用 户 名 和 密码 。 信 息 为 ; “Tomcat Host Manager Application" 


图 11-2 ”输入 管理 员 密码 
成 功 进入 管理 界面 如 图 11-3 所 示 。 


"Su. "Apache 


Software Foundation 
http://www.apache.org/ 


Tomcat Virtual Host Manager 


| HTML Host Manager Help (TODO) | Host Manager Help (TODO) Server cu 


| 


Hast Manager installed - commands disabled 


图 11-3 ”Apache 管理 界面 


Qa 在 实际 环境 中 ， 可 以 通过 使 用 -v 参 数 来 挂 载 Tomcat 的 日 志文 件 、 程 序 所 在 目录 、 以 及 与 Tomcat 相 关 的 配置 。 


11.4 Weblogic 


WebLogic 是 一 个 基于 Java EE 架构 的 中 间 件 (应 用 服务 器 ) ，WebLogic 由 Oracle 公 司 维护 。 


WebLogic 是 用 于 开发 、 集 成 、 部 署 和 管理 大 型 分 布 式 Web 应 用 、 网 络 应 用 和 数据 库 应 用 的 Java 应 用 服务 器 。 是 商业 市 场 上 最 主要 的 Java (J2EE) 应 用 服务 器 软件 之 一 ， 也 是 世界 上 第 一 个 成 功 商业 化 
的 J2EE 应 用 服务 器 。 


与 Tomcat 不 同 的 是 ，Weblogic 是 一 个 商业 软件 ， 所 以 需要 有 授权 才能 使 用 。 不 过 ，Oracle 公 司 允 许 开 发 者 在 开发 模式 下 使 用 Weblogic。 如 果 开 发 者 需要 在 生产 环境 中 使 用 Weblogic， 则 需要 购买 
Oracle 公 司 的 正规 商业 授权 。Weblogic 的 安装 软件 可 以 到 Oracle 的 官方 网 站 下 载 。 


Weblogic 的 基本 概念 


Weblogic 域 


Weblogic 域 是 作为 单元 进行 管理 的 一 组 相关 的 WebLogic 服 务 器 资源 。 一 个 域 包含 一 个 或 多 个 WebLogic 服 务 器 实例 ， 这 些 实例 可 以 是 群集 实例 、 非 群集 实例 ， 或 者 群集 与 非 群 集 实例 的 组 合 。 一 个 域 
可 以 包含 多 个 群集 。 域 还 包含 部 署 在 域 中 的 应 用 程序 组 件 、 此 域 中 的 这 些 应 用 程序 组 件 和 服务 器 实例 所 需 的 资源 和 服务 。 应 用 程序 和 服务 器 实例 使 用 的 资源 和 服务 示例 包括 计算 机 定义 、 可 选 网 络 通道 、 连 
接 器 和 启动 类 。 


Administration 服 务 器 


域 中 包含 一 个 特殊 的 WebLogic 服 务 器 实例 ， 叫 做 Administration 服 务 器 ， 这 是 用 户 配 置 、 管 理 域 中 所 有 资源 的 核心 。 


Managed 服 务 器 


通常 ， 称 加 入 Domain 的 其 他 实例 为 Managed 服 务 器 ， 所 有 的 Web 应 用 、EJB、Web 服 务 和 其 他 资源 都 部 署 在 这 些 服 务 器 上 。 


一 个 典型 的 Weblogic 部 署 应 该 如 图 11-4 所 示 。 


11-4 典型 的 Weblogic 部 署 


如 果 要 使 用 常规 的 administrator+ node 的 方式 部 署 ， 就 需要 在 run.sh 脚 本 中 分 别 写 出 administartor 服 务 器 和 node 服 务 器 的 启动 脚本 。 这 样 做 的 优点 是 : 可 以 使 用 Weblogic 的 集群 、 同 步 等 概念 。 商 
署 一 个 集群 应 用 程序 ， 只 需要 安装 一 次 应 用 到 集群 上 即 可 。 


缺点 是 : 


` Docker EAA To 


: 没 办 法 自动 扩展 集群 的 计算 容量 ， 如 需 添加 节点 ， 需 要 在 administrator 上 先 创建 节点 ， 然 后 再 配置 新 的 容器 run.sh 启 动 脚本 ， 然 后 再 启动 容器 。 


笔者 推荐 将 应 用 程序 安装 在 adminiserver 上 面 ， 需 : 


+ 


展 的 时 候 ， 启 动 多 个 adminiserver 节 点 即 可 ， 将 adminiserver 当 作 Manged server 使 用 。 这 样 做 的 优点 和 缺点 和 传统 的 部 署 方法 恰恰 相反 。 


使 用 docker commit+Dockerfile 方 式 创 建 镜 像 
下 面 笔者 将 以 Weblogic 12.11, jdk 1.6、Ubuntu14.04 为 例子 ,创建 一 个 带 有 Weblogic 服 务 的 镜像 。 
1. 准 备 工作 


由 于 Weblogic 的 安装 、 部 署 方式 较为 复杂 ， 笔 者 将 先 通过 docker run-ti 进 入 容器 完成 大 部 分 操作 ， 然 后 通过 docker commit 将 这 个 容器 提交 为 一 个 镜像 ， 最 后 再 进一步 使 用 Dockerfile 来 完成 最 终 的 
Weblogic 镜 像 创 建 ， 对 于 一 些 复杂 镜像 的 创建 ， 读 者 也 可 以 参考 这 种 方法 。 


在 本 地 主机 上 创建 weblogic 目 录 ， 从 其 他 主机 上 传 jdk 和 weblogic 安 装 文件 到 该 目录 下 ， 并 创建 Dockerfile 和 run.sh 脚 本 文件 : 


$ mkdir weblogic jdk1.6 

$ cd weblogic jdk1.6/ 

$ touch Dockerfile run.sh 

$ 1s 

Dockerfile jdk run.sh wls1211 generic.jar 


2. 安 装 Weblogic 到 容器 


使 用 -v-d-P 参 数 运行 之 前 创建 的 sshd_dockerfile 镜 像 : 


$ sudo docker run -d -v /home/user/weblogic jdk1.6/wl1s1211 generic.jar:/wls1211 generic.jar -v /home/user/weblogic jdk1.6/jdk:/jdk -P sshd:dockerfile 


185546d00925d80c5b£a01320f£eb8939c838£a10429acc648£8850efb8a1e968 


在 宿主 主机 查看 容器 的 ssh 端 口 映 射 情况 ， 可 以 看 到 映射 到 了 本 地 的 49159 端 口 : 


dwj@ubuntu:~/weblogic jdk1.6$ sudo docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
185546400925 sshd:dockerfile "/run.sh" 2 seconds ago Up 1 seconds 0.0.0.0:49159-222/tcp happy ritchie 
通过 ssh 登 录 到 容器 : 


$ ssh 127.0.0.1 -p 49159 
The authenticity of host '[192.168.1.134]:49159 ([192.168.1.134]:49159)' can't be established. 
ECDSA key fingerprint is d1:59:f1:09:30:09:79:6d:19:16:£4:£d:39:1b:be:27. 
Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '[192.168.1.134]:49159' (ECDSA) to the list of known hosts. 
Welcome to Ubuntu 14.04 LTS (GNU/Linux 3.2.0-37-generic x86 64) 
* Documentation: https://help.ubuntu.com/ 
The programs included with the Ubuntu system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by 
applicable law. 


找到 映射 到 容器 内 的 weblogic 安 装 文件 : 


root@185546900925:/# ls -lh 
total 997M 
drwxr-xr-x 2 root root 4.0K Jul 17 03:38 bin 
drwxr-xr-x 2 root root 4.0K Apr 10 2014 boot 
drwxr-xr-x 4 root root 340 Oct 28 07:53 dev 
drwxr-xr-x 83 root root 4.0K Oct 28 07:53 etc 
drwxr-xr-x 2 root root 4.0K Apr 10 2014 home 
drwxr-xr-x 8 1000 1000 4.0K Oct 28 07:43 jdk 
drwxr-xr-x 14 root root 4.0K Oct 27 03:01 lib 
drwxr-xr-x 2 root root 4.0K Jul 17 03:34 lib64 
drwxr-xr-x 2 root root 4.0K Jul 17 03:34 media 
drwxr-xr-x 2 root root 4.0K Apr 10 2014 mnt 
drwxr-xr-x 2 root root 4.0K Jul 17 03:34 opt 
dr-xr-xr-x 253 root root 0 Oct 28 07:53 proc 
drwx----- 5 root root 4.0K Oct 28 07:55 root 
drwxr-xr-x 8 root root 4.0K Oct 28 07:55 run 
-rwxr-xr-x 1 root root 30 Oct 27 02:51 run.sh 
drwxr-xr-x 2 root root 4.0K Jul 21 21:47 sbin 
2 
3 


drwxr-xr-x root root 4.0K Jul 17 03:34 srv 
dr-xr-xr-x 13 root root 0 Oct 28 07:53 sys 
drwxrwxrwt 3 root root 4.0K Oct 28 07:56 tmp 
drwxr-xr-x 16 root root 4.0K Oct 27 03:01 usr 
drwxr-xr-x 19 root root 4.0K Oct 28 07:55 var 
ee 1 1000 1000 997M Oct 28 07:39 wls1211 generic.jar 


Qoa 


笔者 使 用 命令 行 模式 ， 在 容器 内 进行 weblogic 的 安装 。 


以 console 模 式 启动 weblogic 安 装 ， 默 认 使 用 图 形 界面 安装 : 


ro0t8185546d00925: /* ./jdk/bin/java -jar wls1211 generic.jar -mode-console 
Osht ://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text./ . 
-- Oracle Installer = WebLogic 12.1.1.0 -------------------: > 


This installer will guide you through the installation of WebLogic 12.1.1.0. 
Type "Next" or enter to proceed to the next prompt. If you want to change data entered previously, type "Previous". 
Enter [Exit] [Next]> 


.http://www.hzcourse.com/resource/readBook?path-/openresov 


You may quit the installer at any time by typing "Exit". 


不 使 用 默认 的 安装 位 置 ， 我 们 将 weblogic 安 装 在 opt 目 录 下 面 : 


A a Oracle Installer - WebLogic 12.1.1.0 ------------------- > 
Choose Middleware Home Directory: 

"Middleware Home" = [Enter new value or use default 
"/root/Oracle/Middleware"] 
Enter new Middleware Home OR [Exit] [Previous] [Next]> /opt/Middleware 
Wocrce rece rU rm Oracle Installer - WebLogic 12.1.1.0 ------------------- > 
Choose Middleware Home Directory: 

"Middleware Home" = [/opt/Middleware] 
Use above value or select another option: 

1 - Enter new Middleware Home 

2 - Change to default [/root/Oracle/Middleware] 
Enter option number to select OR [Exit] [Previous] [Next]> 


因为 我 们 这 里 使 用 的 授权 时 开发 模式 的 ， 所 以 选择 不 接收 安全 更 新 


&-------------------- Oracle Installer - WebLogic 12.1.1.0 ------------------- > 
Register for Security Updates: 
Provide your email address for security updates and to initiate configuration manager. 
1|Email:[] 
2|Support Password:[] 
3|Receive Security Update: [Yes] 
Enter index number to select OR [Exit] [Previous] [Next]» 3 
«rcu ecereo Oc Oracle Installer - WebLogic 12.1.1.0 ------------------- > 
Register for Security Updates: 
Provide your email address for security updates and to initiate configuration manager. 
"Receive Security Update:" - [Enter new value or use default "yes"] 
Enter [Yes] [No]? no 
RIXA Ic IM Oracle Installer - WebLogic 12.1.1.0 ------------------- F: 
Register for Security Updates: 
Provide your email address for security updates and to initiate configuration manager. 
"Receive Security Update:" = [Enter new value or use default "yes"] 
** Do you wish to bypass initiation of the configuration manager and 
** remain uninformed of critical security issues in your configuration? 
Enter [Yes][No]? yes 
orum m uiui esci ge Oracle Installer - WebLogic 12.1.1.0 ------------------- > 
Register for Security Updates: 
Provide your email address for security updates and to initiate configuration manager. 
1|Email:[] 
2|Support Password:[] 
3|Receive Security Update: [No] 
Enter index number to select OR [Exit] [Previous] [Next]? 


在 这 里 ， 选 择 默 认 的 组 件 。 


Re Oracle Installer - Webloglc. 12.1.1.0 ------------------- > 
Register for Security Updates: 

Provide your email address for security updates and to initiate configuration manager. 
1|Email:[] 

2|Support Password:[] 

3|Receive Security Update: [No] 

Enter index number to select OR [Exit] [Previous] [Next]> 

RC Oracle Installer ~ WebLogic 12.1.1.0 ------------------- > 


Select the type of installation you wish to perform. 
->1|Typical 
Install the following product(s) and component (s): 
- WebLogic Server 
- Oracle Coherence 
2|Custom 
Choose software products and components to install and perform optional 
configuration. 
Enter index number to select OR [Exit] [Previous] [Next]> 


因为 我 们 是 在 jdk 目 录 下 面 使 用 java， 所 以 weblogic 记 住 了 我 们 的 jdk 位 置 ， 选 择 使 用 默认 的 jdk 位 置 ， 后 面 还 需要 选择 产品 安装 目录 ， 之 后 即 开始 安装 过 程 


dinem nece ier. Oracle Installer - WebLogic 12.1.1.0 ------------------- > 
JDK Selection (Any * indicates Oracle Supplied VM): 
JDK(s) chosen will be installed. Defaults will be used in script string-substitution if installed. 
1|Add Local Jdk 
2|/jdk[x] 
*Estimated size of installation: 589.7 MB 
Enter 1 to add or >= 2 to toggle selection OR [Exit] [Previous] [Next]> 
eit Oracle Installer - WebLogic 12.1.1.0 ------------------- > 
Choose Product Installation Directories: 
Middleware Home Directory: [/opt/Middleware] 
Product Installation Directories: 
l|WebLogic Server: [/opt/Middleware/wlserver 12.1] 
2|Oracle Coherence: [/opt/Middleware/coherence 3.7] 
Enter index number to select OR [Exit] [Previous] [Next]> 
i Oracle Installer - WebLogic 12.1.1.0 ------------------- > 
The following Products and JDKs will be installed: 
WebLogic Platform 12.1.1.0 
WebLogic Server 
Core Application Server 
Administration Console 
Configuration Wizard and Upgrade Framework 
Web 2.0 HTTP Pub-Sub Server 
WebLogic SCA 
WebLogic JDBC Drivers 
Third Party JDBC Drivers 
WebLogic Server Clients 
Xquery Support 
Evaluation Database 
Oracle Coherence 
Coherence Product Files 
*Estimated size of installation: 589.9 MB 
Enter [Exit] [Previous] [Next]> 
Oct 28, 2014 7:59:44 AM java.util.prefs.FileSystemPreferences$2 run 
INFO: Created user preferences directory. 
- Oracle Installer - WebLogic 12.1.1.0 - » 
Installing fileshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/. . 
0$ 25$ 50% 75% 100% 


[ 玉 兴 严 交 六 次 次 次 炎 次 次 次 六 次 次 次 六 次 次 次 六 次 次 六 大 次 交 六 大 次 次 六 六 次 交 六 六 次 交 六 大 次 次 六 大 交 次 六 六 次 交 ] 


Performing String Substitutionshttp://www.hzcourse.com/resource/readBook?path-, 1 EEE EE ERR ebook/uncompressed/15029/0EBPS/Text/... 


mee Oracle Installer - WebLogic 12.1.1.0 ------------------- 
Configuring OCMhttp://www.hzcourse.com/resource/readBook?path- DURO ebook/uncompressed/15029/0EBPS/Text/ . . 
E 25$ 50% 75% 100% 


P PE A AE K Dk A AE K k K AE K K E AE K K K E E K E E K K A E K E A E K A E E K A E E K A A ] 


es Oracle Installer - WebLogic 12.1.1.0 ---- 
Installing Patcheshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
0% 25% 50% 75% 100% 


Creating Domainshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Woo ie Oracle Installer - WebLogic 12.1.1.0 ------------------- > 

Installation Complete 
Congratulations! Installation is complete. 
Press [Enter] to continue or type [Exit]> 
Weim ime Oracle Installer ~ WebLogic 12.1.1.0 ------------------- > 

Clean up process in progress http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 


完成 以 上 步骤 后 ， 容 器 内 已 成 功 安装 Weblogic 服 务 。 
3. 创 建 节点 


接 下 来 ， 笔 者 将 创建 默认 的 weblogic 域 和 Adminserver 节 点 : 


同样 使 用 console 模 式 启动 安装 ， 并 选择 新 建 weblogic 域 。 


root@185546900925:/# cd /opt/Middleware/wlserver 12.1/common/bin/ 
r00t8185546400925:/opt/Middleware/wlserver 12.1/common/binf ./config.sh -mode 
Fusion Middleware Configuration Wizard ------------------ 


Choose between creating and extending a domain. Based on your selection, 
the Configuration Wizard guides you through the steps to generate a new or 
extend an existing domain. 
-»1|Create a new WebLogic domain 
| Create a WebLogic domain in your projects directory. 
2|Extend an existing WebLogic domain 


| Use this option to add new components to an existing domain and modify |configuration settings. 
Enter index number to select OR [Exit] [Next]> 
Ci Fusion Middleware Configuration Wizard ------------------ > 


Select Domain Source: 
Select the source from which the domain will be created. You can create the 
domain by selecting from the required components or by selecting from a 
list of existing domain templates. 
->1|Choose Weblogic Platform components 
| You can choose the Weblogic component(s) that you want supported in 
|your domain. 
2|Choose custom template 
| Choose this option if you want to use an existing template. This 
[could be a custom created template using the Template Builder. 
Enter index number to select OR [Exit] [Previous] [Next]? 


选择 默认 的 weblogic 组 件 。 


<: - Fusion Middleware Configuration Wizard 
Application Template Selection: 


Available Templates 
| Basic WebLogic Server Domain - 12.1.1.0 [wlserver 12.1]x 
| Basic WebLogic SIP Server Domain - 12.1.1.0 [wlserver 12.1] [2] 
| WebLogic Advanced Web Services for JAX-RPC Extension = 12.1.1.0 
[wlserver 12.1] [3] 
| "WebLogic Advanced Web Services for JAX-WS Extension - 12.1.1.0 
[wlserver 12.1] [4] 
Enter number exactly as it appears in brackets to toggle selection OR [Exit] [Previous] [Next]> 


设置 新 建 的 域名 : 


eR ME dp AE EE EL Fusion Middleware Configuration Wizard ------------------ 22 
Edit Domain Information: 


| Name | Value | 

mom eem oiu t rl 

1| *Name: | base domain | 
Enter value for "Name" OR [Exit] [Previous] [Next]? 


使 用 默认 的 安装 位 


RM SM IR TIT 光 Fusion Middleware Configuration Wizard ------------------ > 
Select the target domain directory for this domain: 


"Target Location" [Enter new value or use default 
"/opt/Middleware/user projects/domains"] 
Enter new Target Location OR [Exit] [Previous] [Next]? 


设置 用 户 名 和 密码 : 


$ - Fusion Middleware Configuration Wizard 
Configure Administrator User Name and Password: 
Create a user to be assigned to the Administrator role. This user is the 
default administrator used to start development mode servers. 


| Name | Value | 
eo | | 
1| *Name: | weblogic | 
2| *User password: | | 
3| *Confirm user password: | l 
4| Description: | This user is the default administrator. | 


Use above value or select another option: 
1 - Modify "Name" 
2 - Modify "User password" 
3 - Modify "Confirm user password" 
4 - Modify "Description" 
Enter option number to select OR [Exit] [Previous] [Next]» 3 
---- Fusion Middleware Configuration Wizard ------------------ > 
Configure Administrator User Name and Password: 


Create a user to be assigned to the Administrator role. This user is the 
default administrator used to start development mode servers. 

"*Confirm user password:" = [] 
Enter new *Confirm user password: OR [Exit] [Reset] [Accept]? weblogic test 
Nr Fusion Middleware Configuration Wizard ------------------ > 
Configure Administrator User Name and Password: 
Create a user to be assigned to the Administrator role. This user is the 
default administrator used to start development mode servers. 


| Name | Value | 

| | | 

1| *Name: | weblogic | 

2| *User password: | | 

3| *Confirm user password: | ti ein REOR) l 

4| Description: | This user is the default administrator. | 
Use above value or select another option: 


ab 
1 - Modify "Name" 
2 - Modify "User password" 
3 - Modify "Confirm user password" 
4 - Modify "Description" 
5 - Discard Changes 
Enter option number to select OR [Exit] [Previous] [Next]? 2 
pupa cp veri Fusion Middleware Configuration Wizard ------------------ > 
Configure Administrator User Name and Password: 
Create a user to be assigned to the Administrator role. This user is the 
default administrator used to start development mode servers. 

"*User password:" = [] 
Enter new *User password: OR [Exit] [Reset] [Accept]? weblogic test 
ire EE aeran id Fusion Middleware Configuration Wizard ------------------ > 
Configure Administrator User Name and Password: 
Create a user to be assigned to the Administrator role. This user is the 
default administrator used to start development mode servers. 


| Name l Value | 
l | | 
il *Name: | weblogic | 
2| *User password: | 大 六 交大 六 六 大 六 六 交大 | 
3| *Confirm user password: | HR k H e k A H k k k K | 
4| Description: | This user is the default administrator. | 


above value or select another option: 

1 - Modify "Name" 

2 - Modify "User password" 

3 - Modify "Confirm user password" 

4 - Modify "Description" 

5 - Discard Changes 

Enter option number to select OR [Exit] [Previous] [Next]? 


根据 授权 ， 使 用 开发 模式 或 生产 模式 : 


A Fusion Middleware Configuration Wizard ------------------ > 
Domain Mode Configuration: 
Enable Development or Production Mode for this domain. 
-»1|Development Mode 
2|Production Mode 
Enter index number to select OR [Exit] [Previous] [Next]» 2 
en E n Fusion Middleware Configuration Wizard ------------------ > 


-»1|Sun SDK 1.6.0 43 8 /jdk 
2|Other Java SDK 
Enter index number to select OR [Exit] [Previous] [Next]> 


选择 只 安装 一 个 administration server， 其 他 服务 的 安装 跟 这 个 一 样 : 


A AAEE Fusion Middleware Configuration Wizard ------------------ = 
Select Optional Configuration: 

1|Administration Server [ ] 

2|Managed Servers, Clusters and Machines [ ] 


3|RDBMS Security Store [ ] 

Enter index number to select OR [Exit] [Previous] [Next]» 1 

C E Fusion Middleware Configuration Wizard ------------------ > 
Select Optional Configuration: 


1|Administration Server [x] 

2|Managed Servers, Clusters and Machines [ ] 

3|RDBMS Security Store [ ] 

Enter index number to select OR [Exit] [Previous] [Next]> 

Mice mnes Fusion Middleware Configuration Wizard ------------------ > 
Configure the Administration Server: 

Each WebLogic Server domain must have one Administration Server. The 
Administration Server is used to perform administrative tasks. 


Name | Value | 
S l l 
1 *Name: | AdminServer | 
2| *Listen address: | All Local Addresses | 
3 Listen port: | 7001 | 
4| SSL listen port: | N/A | 
5 1 


SSL enabled: l false 
Use above value or select another option: 
1 - Modify "Name" 
2 - Modify "Listen address" 
3 - Modify "Listen port" 
4 - Modify "SSL enabled" 
Enter option number to select OR [Exit] [Previous] [Next]? 


i Fusion Middleware Configuration Wizard ------------------ > 
Creating Domainhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/0EBPS/Text/... 
s 25% 50% 75% 100% 


[ooo Dk K AE K DK E AE K K E AE K K K E K K E E E K A E K K E E K A E E K A E E A E K A A ] 


**** Domain Created Successfully! **** 


4 配置 Weblogic 


首先 ， 修 改 Weblogic 的 一 些 环境 变量 : 


root@185546d00925:/opt/Middleware/user projects/domains/base domain# vi bin/setDomainEnv.sh 


使 用 用 户 名 和 密码 启动 一 次 Webogic 之 后 ,会 在 /opt/Middleware/user_projects/domains/base_domain 下 面 生 成 一 个 server 的 文件 夹 的 AdminServer 文 件 夹 。 


创建 security/boot.properties 文 件 ， 内 容 如 下 : 


username-weblogic 
password-password 


这 样 ， 再 次 启动 Weblogic 时 ， 就 不 需要 输入 密码 了 。 通 过 console 的 输出 可 以 看 到 Weblogic 在 容器 内 启动 成 功 ， 并 监听 到 7001 端 口 : 


root@185546900925: /opt/Middleware/user projects/domains/base domain# ./startWebLogic.sh 


JAVA Memory arguments: -Xms256m -Xmx512m  -XX:MaxPermSize-256m 


WLS Start Mode-Production 
# 此 处 省 去 了 一 些 启动 过 程 


http://www .hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text./ . . http: / /www.hzcourse.com/resource/readBook?path-/openresources/teach ek 


«Oct 28, 2014 8:13:52 AM UTC» «Notice» «Server» «BEA-002613» «Channel "Default" is now listening on 172.17.0.13:7001 for protocols iiop, t3, ldap, snmp, http.» 

«Oct 28, 2014 8:13:52 AM UTC» «Notice» «Server» «BEA-002613» «Channel "Default[2]" is now listening on 127.0.0.1:7001 for protocols iiop, t3, ldap, snmp, http.» 

«Oct 28, 2014 8:13:52 AM UTC» «Warning» «Server» «BEA-002611» «The hostname "localhost", maps to multiple IP addresses: 127.0.0.1, 0:0:0:0:0:0:0:1.» 

«Oct 28, 2014 8:13:52 AM UTC» «Notice» «Server» «BEA-002613» «Channel "Default[3]" is now listening on 0:0:0:0:0:0:0:1:7001 for protocols iiop, t3, ldap, snmp, http.» 

«Oct 28, 2014 8:13:52 AM UTC» «Notice» «WebLogicServer» «BEA-000329» «Started the WebLogic Server Administration Server "AdminServer" for domain "base domain" running in produ 
«Oct 28, 2014 8:13:52 AM UTC» «Notice» «WebLogicServer» «BEA-000365» «Server state changed to RUNNING.» 

«Oct 28, 2014 8:13:52 AM UTC» «Notice» «WebLogicServer» «BEA-000360» «The server started in RUNNING mode.» 


5.Dockerfile 


编写 Dockerfile， 内 容 为 : 


FROM weblogic 1 

# 设 置 继承 自我 们 一 建 的 weblogic 1 镜像 

MAINTAINER waitfish from dockerpool.com(dwj zz8163.com) 

# 下 面 是 一 些 创建 者 的 基本 信息 

# 设 置 环境 变量 ， 所 有 操作 都 是 非 交 互 式 的 

ENV DEBIAN FRONTEND noninteractive 

RUN echo "Asia/Shanghai" > /etc/timezone && V 
dpkg-reconfigure -f noninteractive tzdata 

# 注 意 这 里 要 更 改 系统 的 时 区 设置 ， 因 为 在 Web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 ubuntu 会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 

COPY jdk /jdk 

COPY run.sh /run.sh 

RUN chmod *x /run.sh 

EXPOSE 7001 

CMD ["/run.sh"] 


6.run.sh 


编写 run.sh 脚 本 ， 内 容 为 : 


#!/bin/bash 
/user/sbin/sshd -D & 
/opt/Middleware/user projects/domains/base domain/startWebLogic.sh 


7. 创 建 镜像 及 测试 


使 用 docker build 命 令 创 建 镜像 ， 命 名 为 weblogic: jdk1.6: 


$ sudo docker build -t weblogic:jdkl.6 . 

Sending build context to Docker daemon 1.256 GB 

Sending build context to Docker daemon 

Step 0 : FROM weblogic 1 

---» 6b73c466305f ~ 

Step 1 : MAINTAINER waitfish from dockerpool.com(dwj zz8163.com) 
---» Using cache B 

-=--> c93c4f458baa 

Step 2 : ENV DEBIAN FRONTEND noninteractive 

---» Using cache ` 

---» 18fef76dc4lb 

Step 3 : RUN echo "Asia/Shanghai" » /etc/timezone && dpkg-reconfigure -f noninteractive tzdata 
> Using cache 

---» d307ba8bd052 

Step 4 : COPY jdk /jdk 

---» Using cache 

---> a54ffaa93184 


Step 5 : COPY run.sh /run.sh 

---» a21b0ccb0b07 

Removing intermediate container eabf04e467dd 
Step 6 : RUN chmod 4x /run.sh 

---» Running in 4231d8062f5b 

---» f46358aac2e3 

Removing intermediate container 4231d8062f5b 
Step 7 : EXPOSE 7001 

---» Running in d17c80a9ea5b 

---» 8bc8dd5c8caa 
Removing intermediate container d17c80a9ea5b 
Step 8 : CMD /run.sh 

---» Running in 45de5ac8883a 

---» d904fe4f91f9 
Removing intermediate container 45de5ac8883a 
Successfully built d904fe4f91f9 


启动 一 个 容器 ， 并 查看 它 的 映射 端口 : 


$ sudo docker run -d -P weblogic:jdkl.6 

6c08f5b110affaec256e48b925a1914991c931a8c581f4817fbc5d538e7af2e6 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

6c08f5b110af weblogic:jdk1.6 "/run.sh" 15 seconds ago Up 14 seconds 0.0.0.0:49163-»22/tcp, 0.0.0.0:49164-»7001/tcp 


使 用 浏览 器 登录 Weblogic 控 制 台 ， 如 图 11-5 所 示 。 


firefox ||" Oracle WebLogic Sever &RPEERI& — | 4e] 


«n | & 1921681134491 64/console/login/LoginForm jsp -© EN am P" g- 4i e 
ORACLE WebLogic Server Administration Console 12c 


登录 以 使 用 WebLogic Server if 
APE: 
at: 


图 11-5 登录 Weblogic 控 制 台 


架构 师 在 控制 台 设置 完 启动 程序 、 数 据 源 等 参数 (如 图 11-6 所 示 ) 之 后 ， 可 以 重复 使 用 以 上 步骤 创建 适合 项 目 运行 的 Weblogic 镜 像 。 
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图 11-6 ”Weblogic 控 制 台 配置 界面 


Tomcat/weblogic 集 群 部 署 


使 用 本 章 推荐 的 方式 部 署 Tomcat 和 Weblogic 的 典型 拓扑 如 图 11-7 所 示 (图 中 ，Weblogic 的 位 置 也 可 用 Tomcat 容 器 替换 ) 。 


数据 库 服务 


图 11-7 Tomcat/Weblogic 集 群 部 署 


11.5 LAMP 


LAMP 指 的 Linux (操作 系统 ) 、ApacheHTTP 服 务 器 、MySQL (有 时 也 指 MariaDB， 数 据 库 软件 ) 和 PHP (有 时 也 是 指 Per| 或 Python) 的 组 合 方案 ， 一 般 很 适合 用 来 建立 Web 服 务 器 环境 。 


下 面 介绍 如 何 使 用 Docker 来 搭建 一 个 包含 LAMP 组 件 的 容器 。 


11.5.1 下 载 LAMP 镜 像 


搜索 Docker Hub 上 被 收藏 或 使 用 较 多 的 LAMP 镜 像 ， 笔 者 推荐 选择 tutum/lamp 镜 像 : 


$ sudo docker search -s 10 lamp 
NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
tutum/lamp LAMP image - Apache listens in port 80. anhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 31 


执行 docker pull 命 令 ， 下 载 镜像 : 


$ sudo docker pull tutum/lamp 

Pulling repository tutum/lamp 

4b32789c7d66: Download complete 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


1 


=à 


.5.2 ”使 用 默认 方式 启动 LAMP 容 器 


利用 下 载 的 镜像 启动 一 个 容器 ， 并 映射 容器 的 8080 端 口 和 3306 端 口 : 


$ sudo docker run -d -p 8080:80 -p 3306:3306 tutum/lamp 
0ee00c97a5cdefb985baf826c16723£333aa5edddee4072a5107c724ad09£10d 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
0ee00c97a5cd tutum/lamp:latest "/run.sh" 3 seconds ago Up 2 seconds 0.0.0.0:3306-23306/tcp, 0.0.0.0:8080-280/tcp lonely davinci 


使 用 curl 命 令 测试 ， 可 以 查看 到 默认 的 应 用 已 经 启动 : 


$ curl http://127.0.0.1:8080 


返回 的 内 容 如 下 : 


«html» 
<head> 
<title>Hello world!</title> 
<style> 
body { 
background-color: white; 
text-align: center; 
padding: 50px; 


font-family: "Open Sans", "Helvetica Neue", Helvetica, Arial, 


} 
#logo { 
margin-bottom: 40px; 
} 
</style> 
</head> 
<body> 
<img id-"logo" src-"logo.png" /> 
<hl>Hello world!«/hl» 


sans-serif; 


<h2>MySQL Server version: 5.5.38-0ubuntu0.14.04.1«/h2» 


«/body» 
</html> 


11.5.3 部署 自己 的 PHP 应 用 


默认 的 容器 启动 了 一 个 helloword 应 用 。 读 者 可 以 基于 此 镜像 ， 编 辑 Dockerfile 来 创建 自 定义 LAMP 应 用 镜像 。 


在 宿主 主机 上 创建 新 的 工作 目录 lamp: 


$ mkdir lamp 
$ cd lamp 
$ touch Dockerfile 


在 php 目 录 下 里 面 创建 Dockerfile 文 件 ， 内 容 为 : 


FROM tutum/lamp:latest 


RUN rm -fr /app && git clone https://github.com/username/customapp.git /app 
dix HiXthttps://github.com/username/customapp.git 地 址 蔡 换 为 你 自己 的 项 目地 址 


EXPOSE 80 3306 
CMD ["/run.sh"] 


创建 镜像 ， 命 名 为 dockerpool/my-lamp-app: 


$ docker build -t dockerpool/my-lamp-app . 


利用 新 创建 镜像 启动 容器 ， 注 意 启动 时 候 指定 -d 参 数 ， 让 容器 后 台 运 行 : 


$ docker run -d -p 8080:80 -p 3306:3306 dockerpool/my-lamp-app 


在 本 地 主机 上 使 用 curl 看 一 下 自己 的 应 用 程序 是 不 是 已 经 正确 启动 : 


$ curl http://127.0.0.1:8080/ 


11.5.4 ”在 PHP 程 序 中 连接 数据 库 


1. 在 容器 中 访问 MySQL 数 据 库 


下 载 的 tutum/lamp 镜 像 中 的 MySQL 数 据 库 已 带 有 默认 的 root 


， 本 地 连接 可 以 不 使 


密码 ， 所 以 在 代码 中 访问 数据 库 的 实现 非常 简单 : 


«?php 


$mysql = new mysqli("localhost", "root"); 


echo "MySQL Server info: ".$mysql-»host info; 


?» 


2. 在 容器 外 访问 MySQL 数 据 库 


默认 的 MySQL 数 据 库 不 支持 root 用 户 远程 登录 ， 


因此 在 容器 外 无 法 直接 通过 root 


当 第 一 次 使 用 tutum/lamp 镜 像 启动 容器 的 时 候 ， 它 会 自动 创建 一 个 叫 admin 的 MySQL 


户 访问 MySQL 数 据 库 。 


户 ， 并 生成 一 个 随机 密码 ， 使 用 docker logs 命 令 可 以 获取 到 这 个 密码 : 


$ sudo docker logs 9cb 


=> An empty or uninitialized MySQL volume is detected in /var/lib/mysql 
-» Installing MySQL http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


=> Done! 


=> Waiting for confirmation of MySQL service startup 


=> Creating MySQL admin user with random 
=> Done! 


password 


You can now connect to this MySQL Server 


using: 


mysql -uadmin -p21jg6gvmMON3 -h«host» -P<port> 
Please remember to change the above password as soon as possible! 
MySQL user 'root' has no password but only allows local connections 


Quse admin 用 户 具有 root 相 同 的 权限 。 


11.6 CMS 


内 容 管理 系统 (Content Management System, CMS) 指 的 是 提供 内 容 编辑 服务 的 平台 程序 。CMS 可 以 让 不 懂 编 程 的 普通 人 方便 又 轻松 地 发 布 、 更 改 和 管理 各 类 数字 内 容 (主要 以 文本 和 图 


主 ) 。 


下 面 ， 笔 者 将 以 WordPress 为 例 介绍 如 何 使 用 


Docker 运 行 CMS。 


像 为 


WordPress 简 介 


WordPress 是 风靡 全 球 的 免费 开源 的 内 容 管理 系统 。WordPress 是 博客 、 企 业 官网 、 产 品 首页 等 内 容 相关 平台 的 主流 实现 方案 之 一 ， 除 WordPress 之 外 还 有 Drupal、Joomla、Typo3 等 CMS 系统 。 


WordPress 基 于 PHP 和 MySQL， 架 构 设 计 简 单 明了 ， 可 以 方便 地 制作 主题 、 插 件 和 各 种 功能 模块 。 更 重要 的 是 ，WordPress 的 社区 非常 庞大 ， 在 线 资源 非常 丰富 ， 并 且 在 各 大 网 络 空间 商 和 云 平 台中 受 
到 广泛 的 支持 。 根 据 2013 年 8 月 的 统计 数据 ， 流 量 排名 前 一 干 万 的 网 站 中 有 22% 使 用 了 WordPress 系 统 。 


首先 ， 通 过 Docker Hub 下 载 官方 WordPress 镜 像 : 


$ sudo docker pull wordpress 


然后 ， 就 可 以 创建 并 运行 一 个 WordPress 容 器 ， 并 连接 到 mysq| 容 器 : 


$ sudo docker run --name some-wordpress --link some-mysql:mysql -d wordpress 


启动 容器 时 可 以 带 以 下 环境 参数 : 
: -e WORDPRESS DB. USER-http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach. ebook/uncompressed/15029/OEBPS/Text/... 设置 WrodPress 的 数据 库 用 户 名 ， 默认 是 "root" o 


- -e WORDPRESS_DB_PASSWORD=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15029/OEBPS/Text/... 设置 WordPress 的 数据 库 密码 ， 默 认 值 是 连接 至 
此 WordPress 容 器 的 MySQL 容 器 的 MYSQL ROOT PASSWORD 环境 变量 的 值 。 


: -e WORDPRESS. DB. NAME-http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach ebook /uncompressed/15029/OEBPS/Text/... 设置 WordPress 所 使 用 的 数据 库 的 名 称 ， 默 认 


是 “wordpress E uw 


- -e WORDPRESS AUTH. KEY -http:/ /www.hzcourse.com/resource/readBook?path— / openresources/teach. ebook /uncompressed/15029 /OEBPS/Text/..., -e 
WORDPRESS SECURE, AUTH, KEY -http:/ /www.hzcoutse.com/resource/readBook?path /openresources/teach. ebook /uncompressed/15029 /OEBPS/Text/..., -e 
WORDPRESS. LOGGED IN. KEY -http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach. ebook /uncompressed/15029 /OEBPS/Text/..., -e 
WORDPRESS. NONCE, KEY -http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach ebook/uncompressed/15029 /OEBPS/Text/..., -e 
WORDPRESS. AUTH. SALT-http:/ /www.hzcoutse.com/resource/readBook?path— /openresources/teach. ebook /uncompressed/15029 /OEBPS/Text/..., -e 
WORDPRESS. SECURE, AUTH, SALT-http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach. ebook/uncompressed/15029/OEBPS/Text/..., -e 
WORDPRESS. LOGGED IN. SALT-http:/ /www.hzcoutse.com/resource/readBook?path— /openresources/teach. ebook /uncompressed/15029 /OEBPS/Text/..., -e 


WORDPRESS. NONCE, SALT-http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach. ebook/uncompressed/15029/OEBPS/Text/... 加 密 盐 和 随机 事 ， 默 认 值 是 随机 的 SHA1 值 。 


如 果 WORDPRESS_DB_NAME 指 定 的 数据 库 在 MySQL 容 器 中 不 存在 ， 那 么 此 镜像 会 使 用 WORDPRESS_DB_USER 用 户 自动 创建 一 个 同名 数据 库 。 


同样 ， 用 户 可 以 使 用 -p 参 数 来 进行 端口 映射 : 


$ sudo docker run --name some-wordpress --link some-mysql:mysql -p 8080:80 -d wordpress 


此 时 ， 可 在 浏览 器 中 访问 http://localhost:8080 来 打开 WordPress 页 面 。 


WordPress 官 方 镜像 的 更 多 信息 可 以 参考 https://registry.hub.docker.com/ /wordpress/。 


11.7 本 章 小 结 


本 章 首先 介绍 了 Apache 和 Ningx 两 种 比较 流行 的 Web 服 务 器 镜像 的 创建 ， 其 中 Nginx 还 介绍 了 淘宝 的 衍生 版 本 。 


但 是 ， 我 们 介绍 的 安装 、 配 置 、 编 译 的 方法 都 是 依据 一 些 比较 常见 的 需求 ， 如 果 读 者 有 其 他 需求 (比如 Apache、Nginx 需 要 编译 新 的 功能 模块 ) ， 应 该 根据 自己 需求 来 重新 定制 镜像 ， 特 别 是 在 生产 环 
境 中 ， 一 些 细微 的 参数 配置 可 能 带 来 性 能 上 巨大 的 变化 。 


本 章 的 2.3.3 和 2.3.4 小 节 介绍 了 目前 比较 流行 的 Java 中 间 件 服务 器 Tomcat 和 Weblogic 的 镜像 创建 。 


笔者 一 直 认 为 ， 中 间 件 服务 器 是 Docker 容 器 应 用 的 最 佳 实践 ， 原 因 如 下 : 


“中间 件 服务 器 是 除数 据 库 服务 器 外 的 主要 计算 节点 ， 很 容易 成 为 性 能 瓶颈 ， 所 以 通常 需要 大 批量 部 署 ， 而 Docker 对 于 批量 部 署 有 着 许多 先天 的 优势 ( 详 见 本 书 第 一 部 分 内 容 ) 。 


“中间 件 服务 器 结构 清晰 ， 在 剥离 了 配置 文件 、 日 志 、 代 码 目录 之 后 ， 容 器 几乎 可 以 处 于 零增长 状态 ， 这 使 得 容器 的 迁移 和 批量 部 署 更 加 方便 。 


:中间 件 服务 器 很 容易 实现 集群 ， 在 使 用 硬件 的 F5， 软 件 的 Nginx 等 负载 均衡 后 ， 中 间 件 服务 器 集群 变 得 非常 容易 。 


值得 注意 的 是 ， 由 于 目前 Docker 暂 不 支持 修改 运行 中 的 容器 的 一 些 配 置 ， 比 如 无 法 为 运行 中 的 容器 映射 更 多 的 宿主 主机 目录 ， 无 法 为 运行 中 的 主机 映射 更 多 宿主 主机 的 网 络 ， 等 等 ， 读 者 在 使 用 中 间 件 
容器 的 时 候 ， 需 要 事先 规划 好 容器 的 用 途 和 可 能 开放 的 网 络 端口 等 资源 。 


本 章 的 最 后 两 个 小 节 介绍 了 比较 常见 的 LAMP 套 件 和 WordPress 镜 像 的 创建 。 其 在 开发 环境 中 使 用 非常 方便 ， 但 是 生产 环境 中 因为 性 能 和 其 他 方面 的 一 些 考虑 通常 会 有 专门 的 Web 和 数据 库 服务 器 。 


需要 特别 注意 的 是 ， 对 于 程序 代码 、 程 序 的 资源 目录 、 日 志 、 数 据 库 文件 等 需要 实时 更 新 的 数据 一 定 要 通过 -v 参 数 映 射 到 宿主 主机 的 目录 中 来 ， 使 用 Docker 的 AUFS 文 件 格式 ， 会 产生 较 大 的 性 能 问题 
(原理 部 分 请 参考 本 书 的 第 一 部 分 和 第 三 部 分 ) 。 


IBM 研 究 院 也 针对 Docker 的 各 项 性 能 做 了 比较 详细 的 测试 ， 可 以 从 这 里 下 载 报告 : 


http://domino.research.ibm.com/library/cyberdig.nsf/papers/0929052195DD819C85257D2300681E7B/$File/rc25482.pdf。 


第 12 章 ”数据库 应 用 


主流 数据 库 方案 包括 关系 数据 库 (SQL) 和 非 关系 数据 库 (NoSQL) 方案 。 


关系 数据 库 是 建立 在 关系 模型 基础 上 的 数据 库 ， 借 助 于 集合 代数 等 数学 概念 和 方法 来 处 理 数据 库 中 的 数据 ， 支 持 复杂 的 事物 处 理 和 结构 化 查询 。 目 前 流行 的 关系 型 数据 库 有 MySQL、Oracle、 
PostGreSQL、MariaDB、SQLServer 等 等 。 


非 关 系数 据 库 是 新 兴 的 数据 库 技 术 ， 它 放弃 了 传统 关系 型 数据 库 的 部 分 强 一 致 性 限制 ， 使 其 更 适用 于 需要 大 规模 的 并 行 处 理 的 生产 环境 ， 并 能 在 这 些 场景 下 发 挥 出 优异 的 性 能 。NoSQL 是 关系 型 数据 库 
的 良好 补充 ， 代 表 产 品 有 MongoDB、Redis、CouchDB 等 。 


本 章 选取 了 最 具 代 表 性 的 MySQL、Oracle、MongoDB 三 款 数据 库 ， 来 展示 基于 Docker 创 建 相关 镜像 并 进行 应 用 的 过 程 。 


12.1 MySQL 


MySQL 是 流行 的 开源 关系 数据 库 实现 ， 因 为 其 高 性 能 、 可 靠 性 和 适应 性 而 得 到 广泛 应 用 和 关注 。 


1. 下 载 文件 


从 GitHub Dockerpool 社 区 下 载 mySQL 镜 像 项 目 : 


$ git clone https://github.com/DockerPool/mysql.git 

Cloning into 'mysql'http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
remote: Counting objects: 13, done. 

remote: Compressing objects: 100$ (13/13), done. 

remote: Total 13 (delta 1), reused 8 (delta 0) 

Unpacking objects: 100$ (13/13), done. 

Checking connectivityhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... done. 


查看 内 容 ， 包 括 已 经 写 好 的 Dockerfile 和 若干 脚本 : 


$ cd mysql 
$ 1s 
create db.sh Dockerfile import sql.sh LICENSE my.cnf mysqld charset.cnf  README.md run.sh 


其 中 Dockerfile 内 容 为 : 


# 本 文件 参考 了 tutum 的 Dockerfile 
FROM sshd 
MAINTAINER Waitfish «dwj zz8163.com» 
# 安 装 软件 
ENV DEBIAN FRONTEND noninteractive 
RUN apt-get update && VN 
apt-get -yq install mysqgl-server-5.6 pwgen && V 
rm -rf /var/lib/apt/lists/* 
+ 删除 预 安装 的 数据 库 文 件 
RUN rm -rf /var/lib/mysql/* 
# 添加 文件 夹 下 的 MYSCL 配 置 文件 
ADD my.cnf /etc/mysql/conf.d/my.cnf 
ADD mysqld charset.cnf /etc/mysql/conf.d/mysqld charset.cnf 
3 添加 MYSQL 的 脚本 
ADD import sql.sh /import sql.sh 
ADD run.sh /run.sh 
RUN chmod 755 /*.sh 
# 设置 环境 变量 ， 用 户 名 以 及 秘密 
ENV MYSQL USER admin 
ENV MYSQL PASS **Random** 
# 设置 主 从 夏 制 模式 下 的 环境 变量 
ENV REPLICATION MASTER **False** 
ENV REPLICATION SLAVE **False** 
ENV REPLICATION USER replica 
ENV REPLICATION PASS replica 
# 设置 可 以 允许 挂 载 的 卷 ， 可 以 用 来 备份 数据 库 和 配置 文件 
VOLUME ["/etc/mysql", "/var/lib/mysql"] 
# 设置 可 以 映射 的 端口 ， 如 果 是 从 我 们 的 sshq 镜 像 继承 的 话 ， 默 认 还 会 开启 22 端 口 
EXPOSE 3306 
CMD ["/run.sh"] 


2. 创 建 镜像 


使 用 docker build 命 令 来 创建 镜像 mysql: latest: 


$ sudo docker build -t mysql:latest . 

Sending build context to Docker daemon 95.23 kB 

Sending build context to Docker daemon 

Step 0 : FROM sshd 

=--> 312c93647dc3 

Step 1 : MAINTAINER Waitfish «dwj zz8163.com» 

---» Running in a149f8a7933f 

---» edbbfe8b4895 
Removing intermediate container a149f8a7933f 

Step 2 : ENV DEBIAN FRONTEND noninteractive 

---» Running in e80cbb29cadb 

---» 81fc6101a236 

Removing intermediate container e80cbb29cadb 

Step 3 : RUN apt-get update && apt-get -yq install mysql-server-5.6 pwgen && rm -rf /var/lib/apt/lists/* 
---» Running in 58220fe833c2 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Removing intermediate container 3c3254e8ccle 

Successfully built f008f97bdcl4 

dwj(iz23pznlje42:-/mysql$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
mysql latest £008£97bdc14 About a minute ago 539.1 MB 
3. 使 用 镜像 


使 用 默认 方式 启动 后 台 容器 ， 不 添加 环境 变量 ， 并 使 用 -P 参 数 自 动 映射 容器 的 22 和 3306 端 口 。 


$ sudo docker run -d -P mysql 


检查 容器 进程 启动 情况 和 端口 映射 情况 ， 可 见 容器 的 22 端 口 被 映射 到 本 地 的 49153 端 口 。 


$ sudo docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
eef1632ccd4e mysql:latest "/run.sh" 8 seconds ago Up 8 seconds 0.0.0.0:49153-222/tcp, 0.0.0.0:49154-23306/tcp | angry einstein 


通过 映射 的 本 地 49153 端 口 SSH 登 录 容 器 ， 并 查看 运行 的 进程 。 


$ ssh 127.0.0.1 -p 49153 
The authenticity of host '[127.0.0.1]:49153 ([127.0.0.1]:49153)'' can't be established. 
ECDSA key fingerprint is db:35:7a:60:2d:11:d5:97:5a:6e6:84:a6:95:£0:4£:32. 
Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '[127.0.0.1]:49153' (ECDSA) to the list of known hosts. 
Welcome to Ubuntu 14.04 LTS (GNU/Linux 3.2.0-54-generic x86 64) 
* Documentation: https://help.ubuntu.com/ 
The programs included with the Ubuntu system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by 
applicable law. 
root8eefl632ccd4e:-f4 ps -ef |grep mysql 


root 1 0 020:14 ? 00:00:00 /bin/sh /usr/bin/mysqld safe 
mysql 1974 1 0 20:14 ? 00:00:00 /usr/sbin/mysqld --basedir-/usr --datadir-/var/lib/mysql --plugin-dir-/usr/lib/mysql/plugin --useremysql --log-error-/var/log/my 
root 2022 2010 0 20:15 Pts/0 00:00:00 grep --color-auto mysql 


默认 情况 下 ， 容 器 内 的 MySQL 提 供 了 root 账 号 和 admin 账 号 ， 其 中 root 账 号 无 需 密码 ， 但 只 允许 本 地 访问 。 


mysql» select host, user, password from mysql.user; 
+ 


| localhost | root | 
| eef1632ccd4e | root | 
| 127.0.0.1 | root | 


esent | root 

| localhost | 

| eef1632ccd4e | 

E | admin 


admin 账 号 拥有 远程 访问 权限 。 其 密码 可 以 使 用 docker logs 命 令 来 查看 获取 : 


$ sudo docker logs eef 

=> An empty or uninitialized MySQL volume is detected in /var/lib/mysql 

=> Installing MySQL http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 

=> Done! 

Creating admin user http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


Waiting for confirmation of MySQL service startup, trying 0/13 http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Creating MySQL user admin with random password 
Done! 


You can now connect to this MySQL Server using: 
mysql -uadmin -ptlFWuDCgQicT -h«host» -P<port> 
Please remember to change the above password as soon as possible! 


Can't log to error log and syslog at the same time. Remove all --log-error configuration options for --syslog to take effect. 
141106 20:14:21 mysqld safe Logging to '/var/log/mysql/error.log'. 
141106 20:14:21 mysqld safe Starting mysqld daemon with databases from /var/lib/mysql 


上 面 的 :1 FWuDCgQicT 就 是 admin 的 密码 。 


4. 指 定 admin 账 号 用 户 名 和 密码 


户 也 可 以 在 启动 容器 时 指定 admin 账 号 的 用 户 名 和 密码 ， 例 如 : 


$ sudo docker run -d -P -e MYSQL PASS-"mypass" mysql 
1b32444ebb7232£885961faa15fb1a052ca93b81c308cc41d16bd38276c77475 


5. 挂 载 目 录 到 容器 


默认 情况 数据 库 的 数据 库 文件 和 日 志文 件 都 会 存在 容器 的 AUFS 文 件 层 ， 这 不 仅 会 使 得 容器 变 得 越 来 越 腔 肿 ， 不 便于 迁移 、 备 份 等 管理 ， 而 且 数 据 库 的 性 能 也 会 受到 影响 。 因 此 ， 建 议 挂 载 本 地 主机 的 目 
录 到 容器 内 ， 例 如 : 


$ docker run -d -P -v /opt/mysqldb:/var/lib/mysql mysql 


这 样 ， 容 器 就 会 将 数据 文件 和 日 志文 件 都 放 到 指定 的 本 地 主机 目录 下 面 : 


$ tree /opt/mysqldb/ 
/opt/mysqldb/ 

-- auto.cnf 

-- ib logfileO 

— ib logfilel 

-- ibdatal 

-- mysql 

-- columns priv.MYD 
columns priv.MYI 
columns priv.frm 
db.MYD 

— db.MYI 

- db.frm 

event.MYD 
event.MYI 

- event.frm 

- func.MYD 
func.MYI 
func.frm 

- general log.CSM 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


6. 启 用 主 从 模式 


利用 主 从 模式 ， 可 以 为 数据 库 提 供 更 好 的 可 靠 性 。 


首先 ， 创 建 一 个 名 称 为 mysql 的 


容器 : 


$ sudo docker run -d -e REPLICATION MASTER-true -P  --name mysql mysql 


创建 从 容器 ， 并 连接 到 刚刚 创建 的 主 容器 : 


$ sudo docker run -d -e REPLICATION SLAVE-true -P --link mysql:mysql mysql 


注意 ， 这 里 的 主 mysq| 服 务 器 的 名 字 必 须 为 mysql， 否 则 会 收 到 错误 提示 : '"Cannotconfigure slave, please link it to another MySQL container with alias as 'mysql', 


查看 容器 互联 信息 : 

# sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

a781d1c74024 mysql:latest "/run.sh" About a minute ago Up About a minute “ 0.0.0.0:49167-222/tcp, 0.0.0.0:49168-23306/tcp | romantic fermi 
38c73b5555aa mysql:latest "/run.sh" About a minute ago Up About a minute — 0.0.0.0:49165-222/tcp, 0.0.0.0:49166-23306/tcp | mysql 


现在 ， 就 可 以 通过 相应 的 端口 来 直接 连接 主 或 者 从 MySQL 服 务 器 了 。 


12.2 Oracle XE 


Oracle 快 捷 版 (Oracle XE) 是 一 款 基 于 Oracle 119 第 2 版 代码 库 的 小 型 入 门 级 数据 库 ， 它 具备 以 下 优点 : 


“ 免费 开发 、 部 署 和 分 发 。 


:下载 速度 快 。 


“ 管理 简单 。 


作为 一 款 优秀 的 入 门 级 数据 库 ， 它 适合 以 下 用 户 使 


< 致力 于 PHP、Java、.NET、XML 和 开源 应 用 程序 的 开发 人 员 。 
“ 需要 免费 的 入 门 级 数据 库 进行 培训 和 部 署 的 DBA。 
“ 需要 入 门 级 数据 库 进行 免费 分 发 的 独立 软件 供应 商 (ISV) 和 硬件 供应 商 。 


“ 需要 在 课程 中 使 用 免费 数据 库 的 教育 机 构 和 学 生 。 


Oracle Database XE 对 安装 主机 的 规模 和 CPU 数量 不 作 限制 每 台 计 算 机 一 个 数据 库 ) ， 但 XE 将 最 多 存储 11GB 的 用 户 数据 ， 同 时 最 多 使 用 1GB 内 存 和 主机 上 的 一 个 CPU。 


1. 搜 索 Oracle 镜 像 


直接 在 DockerHub 上 搜索 镜像 ， 并 下 载 wnameless/oracle-xe-11g 镜 像 : 


$ sudo docker search -s 10 oracle 
NAME DESCRIPTION STARS OFFICIAL AUTOMATED 


wnameless/oracle-xe-11lg SYS & SYSTEM password: oracle https://indehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
alexeiled/docker-oracle-xe-11g This is a spin off from wnameless/docker-ohttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text 


$ sudo docker pull wnameless/oracle-xe-llg 


2. 启 动 和 使 用 容器 


启动 容器 ， 并 分 别 映射 22 和 1521 端 口 到 本 地 的 49160 和 49161 端 口 。 


$ sudo docker run -d -p 49160:22 -p 49161:1521 wnameless/oracle-xe-11g 


使 用 下 列 参数 可 以 连接 oracle 数 据 库 : 


hostname: localhost 
port: 49161 

sid: xe 

username: system 
password: oracle 
Password for SYS 


使 用 SSH 登 录 容器 ， 默 认 的 用 户 名 为 root， 密 码 为 admin。 


$ ssh root@localhost -p 49160 
password: admin 


12.3 MongoDB 


a 


GA 


、 易 部 署 、 易 使 用 等 特点 ， 已 经 在 各 种 领域 都 得 到 了 广泛 的 应 用 。 


MongoDB 是 一 款 可 扩展 、 高 性 能 的 开源 文档 (Document-Oriented) 数据 库 。 它 采用 C++ 开发 ， 支 持 复杂 的 数据 类 型 和 强大 的 查询 语言 ， 提 供 了 关系 数 


1. 下 载 文件 


从 GitHub Dockerpool 社 区 帐户 下 载 Mongodb 镜 像 项 目 : 


居 库 的 绝 大 部 分 功能 。MongoDB 由 于 其 高 性 


$ git clone https://github.com/DockerPool/Mongodb.git 


查看 内 容 ， 包 括 写 好 的 Dockerfile 和 若干 脚本 等 : 


$ cd Mongodb 
$ 1s 
Dockerfile LICENSE README.md run.sh set mongodb password.sh 


其 中 Dockerfile 内 容 为 : 


# 设 置 从 我 们 之 前 创建 的 sshq 锁 像 继 承 。 
FROM sshd 
MAINTAINER waitfish from dockerpool.com(dwj zz8163.com) 
RUN apt-get update && VN 
apt-get install -y mongodb pwgen && V 
apt-get clean && V 
rm -rf /var/lib/apt/lists/* 
# 创建 nongodb 存 放 数据 文件 的 文件 夹 
RUN mkdir -p /data/db 
VOLUME /data/db 
ENV AUTH yes 
+ 添加 脚本 
ADD run.sh /run.sh 
ADD set mongodb password.sh /set mongodb password.sh 
RUN chmod 755 ./*.sh 
EXPOSE 27017 
EXPOSE 28017 
CMD ["/run.sh"] 


set mongodb_password.sh 脚 本 主要 负责 配置 数据 库 的 用 户 名 和 密码 ， 内 容 为 : 


#!/bin/bash 

# 这 个 脚本 主要 是 用 来 设置 数据 库 的 用 户 名 和 密码 。 

# 判断 是 否 已 经 设置 过 密码 。 

i£ [ -f /.mongodb password set ]; then 
echo "MongoDB password already set!" 
exit 0 


fi 

/usr/bin/mongod --smallfiles --nojournal & 

PASS-$[MONGODB PASS:-$(pwgen -s 12 1)] 

.Word-$( [ $(MONGODB PASS) ] && echo "preset" || echo "random" ) 
RET-1 

while [[ RET -ne 0 ]]; 


echo "=> Waiting don confirmation of MongoDB service startup" 
sleep 5 
mongo admin --eval "help" »/dev/null 2>&1 
RET-$? 
done 


# 通过 docker logs + id 可 以 看 到 下 面 的 输出 。 


echo "=> Creating an admin user with a $( word] password in MongoDB" 

mongo admin --eval "db.addUser((user: 'admin', pwd: '$PASS', roles: [ 'userAdminAnyDatabase!', 
mongo admin --eval "db.shutdownServer();" 

echo "=> Done!" 

touch u mongodb password set 

echo " 


echo "You can now connect to this MongoDB server using 


echo " mongo admin -u admin -p $PASS --host «host» --port «port»" 


echo "Please remember to change the above password as soon as possible!" 


'dbAdminAnyDatabase' ]]);" 


run.sh 脚 本 是 主要 的 启动 脚本 ， 内 容 为 : 


1! /bin/bash 
if [ ! -f /.mongodb password set ]; then 
/set mongodb password.sh 

fi 
if [ "SAUTH" — "yes" ]; then 
# 这 里 读者 可 以 自己 设 定 Mongodb 的 启动 参数 。 

export mongodb-'/usr/bin/mongod --nojournal --auth --httpinterface --rest' 
else 

export mongodb-'/usr/bin/mongod --nojournal --httpinterface --rest' 
fi 
if [ ! -f /data/db/mongod.lock ]; then 

eval $mongodb 
else 

export mongodb-$mongodb' --dbpath /data/db' 

rm /data/db/mongod.lock 

mongod --dbpath /data/db --repair && eval $mongodb 
fi 


2. 创 建 镜像 


根据 Dockerfile 创 建 镜像 mongodb latest: 


$ sudo docker build -t mongodb . 
$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
mongodb latest e3200a24cf28 3 hours ago 256 MB 
3. 使 用 示范 


启动 后 台 容 器 ， 并 分 别 映射 27017 和 28017 端 口 到 本 地 : 


$ sudo docker run -d -p 27017:27017 -p 28017:28017 mongodb 


通过 docker logs 来 查看 默认 的 admin 帐 户 密码 : 


$ sudo docker logs sa9 


You can now connect to this MongoDB server usin 
mongo admin -u admin -p 5elsT6KtjrqV --host «host» --port «port» 
Please remember to change the above password as soon as possible! 


输出 中 的 5elsT6KtjrqV 就 是 admin 用 户 的 密码 : 


还 可 以 利用 环境 变量 在 容器 启动 时 指定 密码 : 


$ sudo docker run -d -p 27017:27017 -p 28017:28017 -e MONGODB PASS-"mypass" mongodb 


甚至 ， 设 定 不 需要 密码 : 


$ sudo docker run -d -p 27017:27017 -p 28017:28017 -e AUTH=no mongodb 


同样 ， 读 者 也 可 以 使 用 -v 参 数 来 映射 本 地 目录 到 容器 。 


4 详细 启动 参数 


Mongodb 的 启动 参数 有 很 多 ， 包 括 : 


--quiet # 安静 输出 

--port arg # 指定 服务 端口 号 ， 默 认 端 口 27017 

--bind ip arg # 绑 定 服务 IP， 5E127.0.0. E" 则 只 能 本 机 访问 ,不 指定 默认 本 地 所 有 IP 
--logpath arg 4 指定 MongoDi 文件 ， 注 意 是 指定 文件 不 是 目录 


--logappend LÀ 使 用 区 加 的 方式 

--pidfilepath arg # PID File 的 完整 路 径 ， 如 果 没 有 设置 ， 则 没有 PID 文 件 
--keyFile arg # 集群 的 私 钥 的 完整 路 径 ， 只 对 于 Replica Set 架 构 有 效 
--unixSocketPrefix arg # UNIX 域 套 接 字 替代 目录 ， (默认 为 /tmp) 

--fork  # 以 守护 进程 的 方式 运行 MongoDB， 创 建 服务 器 进程 

--auth H 启用 验证 

=-Gpu + 定期 显示 CPU 的 CPU 利用 率 和 iowait 

--dbpath arg # 指定 数据 库 路 径 

--diaglog arg 4 diaglog 选 项 0=off 1-W 2-R 3-both 7-W*some reads 
--directoryperdb # 设置 每 个 数据 库 将 被 保存 在 一 个 单独 的 目录 

--journal # 启用 日 志 选 项 ， MongopB 的 数据 操作 将 会 写 入 到 journal 文件 来 的 文件 里 
—-journalOptions arg # 启用 日 志 诊断 选项 

--ipv6 # 启用 IPv6 选 项 

--jsonp 4 允许 JSONEP 形 式 通过 HTTP 访 问 〈 有 安全 影响 ) 

--maxConns arg # 最 大 同时 连接 数 默认 2000 

--noauth # 不 启用 验证 

-—-nohttpinterface # 关闭 http 接 口 ， 默 认 关闭 27018 端 口 访问 
--noprealloc * 禁用 数据 文件 预 分 配 (往往 影响 性 能 ) 
--noscripting # 禁用 脚本 引擎 


-—-notablescan # 不 允许 表 扫描 
—-nounixsocket bs ER 字 监 听 
言 数据 库 .ns 文件 大 小 (MB. 


--nssize arg (=16) 


—-objcheck 4 pA 


--profile arg # 档案 参数 
限制 每 个 数据 库 的 文件 数 ， 


* 


--quota 


Pr 检查 的 有 效 性 
0=off 1=slow, 


11 
设置 默认 为 8 


--quotaFiles arg # number of files allower per db, requires --quota 


--rest # 开启 简单 的 rest 


--repair # 修复 所 有 数据 库 run repair on al 
--repairpath arg # 修复 库 生成 的 文件 的 目录 ， 


API 


l dbs 
默认 为 目录 名 称 dbpath 


--slowms arg (=100) # value of slow for profile and console log 


--smallfiles # TA 
--syncdelay arg (=60) 


# 数 
--sysinfo # 打印 一 些 m 
#4 


--upgrade # 如 果 


的 默认 文件 


写 入 磁盘 的 时 间 秒 数 (0=never， 不 推荐 ) 


* Replicaton 参数 


--fastsync 4 从 一 个 dbpath 里 启用 从 库 复制 服务 ， cei 是 主 库 的 快照 ， 
—-autoresync 4 MRM 重新 同步 ， 
--oplogSize arg # 设置 oplog 的 大 小 (MB) 


库 与 主 崖 间 步 数据 差 得 多 ， 自 动 重 
$ a B 


--master 


+ 主 库 模式 
--slave # 从 库 模 式 


--source arg # 从 库 端口 号 


--only arg # 指定 单一 的 


--slavedelay arg # 设置 从 库 同步 主 库 的 延迟 时 间 “* Replica set (HÆR) i 


数据 库 复制 


--configsvr # 声明 这 是 一 
--shardsvr # 声明 这 是 一 


个 集群 的 confi 
ABA. RUN 


务 ， 默 认 端 口 27019， 默 认 目 录 /data/configdb 
认 端 口 27018 


--noMoveParanoia # 关闭 偏执 为 movechunk 数 据 保存 


可 用 于 快速 启用 同步 


上 述 参数 也 可 以 直接 在 mongod.conf 配 置 文 件 中 配置 ， 例 如 : 


dbpath = /data/mongodb 


logpath = /data/mongodb/mongodb.log 


logappeng = true 
port = 27017 
fork = see 
auth - true 


124 本章 小 结 


本 章 MySQL 小 节 介绍 了 标准 镜像 的 创建 过 程 ， 以 及 如 何 将 数据 库 文件 映射 到 宿主 主机 来 减少 AUFS 系 统 的 性 能 损耗 ， 还 介绍 


解 如 何在 生产 环境 中 部 署 和 使 


Oracle 小 节 主 要 以 Oracle express 版 本 为 主 。 笔 者 认为 在 Docker 容 器 中 来 运行 生产 的 Oracle 数 据 库 不 是 十 分 合适 


MySQL 的 Docker 容 器 。 


< Oracle 作为 一 个 大 型 的 企业 级 数据 库 ， 对 运行 


` Oracle 数据 库 拥 有 自己 非常 


完善 的 集群 软件 ， 


， 主 要 有 如 下 几 个 方面 的 原 


了 MySQL 数 据 库 


vr 
| 


主 从 复制 模式 ， 读 者 通过 阅读 该 小 节 ， 应 该 能 够 进一步 了 


境 的 要 求 十 分 苛刻 ， 需 要 在 操作 系统 内 核 、 网 络 等 多 方面 进行 调整 来 达到 最 优化 的 性 能 ， 而 这 些 方面 都 不 是 Docket 的 强项 


包括 Clusterware、ASM、Dataguard 等 组 件 ， 来 保证 性 能 和 可 用 性 ， 这 方面 目前 还 没有 比较 好 的 Docker 支 持 。 


- 购买 Oracle 软 件 需 要 昂贵 的 授权 许可 ， 而 且 Docker 技 术 目前 不 在 Oracle 公司 支持 的 操作 系统 列表 里 面 ， 无 法 得 到 Oracle 公 司 的 完善 的 技术 支持 。 


本 章 最 后 还 介绍 了 非 关系 型 数据 库 MongoDB 镜 像 的 创建 ， 跟 MySQL 镜 像 一 样 ， 根 据 该 小 节 介绍 创建 的 镜像 ， 拥 有 许多 可 


虽然 如 此 ， 经 过 笔者 的 验证 ，Oracle Express 版 本 可 以 在 Docker 中 正常 运行 ， 读 者 可 以 


阅读 本 章 需 要 对 特定 数据 库 的 配置 和 结构 有 一 定 的 基础 知识 ， 由 于 篇 幅 所 限 ， 无 法 


第 13 章 编程 语言 


本 章 主要 介绍 如 何 使 用 Docker 快 速 部 署 主 流 编程 语言 的 开发 环境 及 其 常 


PHP 的 Docker 使 用 。 


13.1 PHP 


13.1.1. PHPRS 


PHP 是 一 种 广泛 使 用 的 动态 
时 候 ， 基 于 原 有 PHP 系 统 进行 分 


脚本 语言 ， 尤 其 适 
层 优化 和 业务 整合 


于 各 种 Web 方 案 。 由 于 PHP 易 于 入 门 ， 易 了 


维护 的 特性 ， 它 在 
也 是 相对 容易 的 。PHP 的 哲学 是 quickand dirty (快速 有 效 为 先 ) ， 任 何 对 交付 速度 


以 供 读者 自 定义 的 选项 ， 来 创建 符合 自己 需求 的 MongoDB 应 


它 来 快速 搭建 个 人 开发 、 学 习 Oracle 数 据 库 的 环境 。 


框架 ， 包 括 C、C++、Java、PHP、Python、Perl、 


介绍 。 读 者 可 以 通过 各 大 数据 库 的 官方 网 站 查阅 相关 资料 。 


Ruby、JavaScript、Ruby 等 。 其 中 ， 笔 者 将 重点 介绍 常用 Web 编 程 语 


Ea 


内 外 被 大 量 的 有 


于 快速 Web 开 发 。 即 使 随 着 网 站 PV/UV 的 增长 ， 需 要 支持 更 大 的 并 发 的 


、 灵 活性 甚至 招聘 成 本 有 要 求 的 创业 团队 ， 可 以 大 胆 地 选择 PHP。 


下 面 ， 笔 者 将 重点 讲解 PHP 语 言 的 Docker 环 境 ， 并 简 述 PHP 主 流 MVC 框 架 的 Docker 环 境 。 


1. 使 用 官方 镜像 


首先 ， 下 载 PHP 官 方 基础 镜像 。 


$ sudo docker pull php 


下 载 成 功 后 ， 读 者 已 经 可 以 使 用 一 个 PHP 容 器 去 运行 PHP 程 序 /站 点 了 。 


第 一 步 ” 如 果 读 者 需要 以 CLI (command line interface 命 令 行 ) 方式 运行 PHP 脚 本 ， 可 以 按照 以 下 步骤 操作 : 


1) 在 PHP 程 序 /站 点 的 根 目录 中 新 建 一 个 Dockerfile， 内 容 为 : 


FROM php:5.6-cli 

COPY . /usr/src/myapp 

WORKDIR /usr/src/myapp 

CMD [ "php", "./your-script.php" ] 


2) 然后 运行 以 下 命令 去 构建 Docker 镜 像 : 


$ sudo docker build -t my-php-app . 


3) 最 后 执行 以 下 命令 去 运行 Docker 镜 像 : 


$ sudo docker run -it --rm --name my-running-app my-php-app 


第 二 步 ” 如 果 读者 需要 运行 简单 的 ， 甚 至 单 文件 的 PHP 项 目 ， 那 么 每 次 都 写 Dockerfile 会 很 麻烦 。 这 种 情况 下 ， 你 可 以 


以 下 


命令 直接 运行 PHP 脚 本 : 


$ sudo docker run -it --rm --name my-running-script -v "$ (pwd)":/usr/src/myapp -w /usr/src/myapp php:5.6-cli php your-script.php 


第 三 步 ” 通 常情 况 下 ，PHP 项 目 需要 和 Apache httpd/Nginx 一 起 运行 。 这 样 就 需要 PHP 容 器 中 内 含 Apache Web Server。 读 者 可 以 使 用 带 有 apache 标 签 的 镜像 ， 如 php:5.6-apache。 


1) 在 读者 的 PHP 项 目的 根 目录 中 新 建 一 个 Dockerfile， 并 使 用 Docker Hub 官 方 的 基础 镜像 : 


FROM php:5.6-apache 
COPY src/ /var/www/html/ 


src/ 是 当前 包含 所 有 PHP 代 码 的 目录 。 


2) 使 用 此 Dockerfile 构 建 自 定义 镜像 : 


$ sudo docker build -t my-php-app . 


3) 创建 并 运行 此 镜像 : 


$ sudo docker run -让 --rm --name my-running-app my-php-app 


笔者 建议 加 入 一 个 自 定义 的 php.ini 配 置 文 件 ， 将 其 拷贝 到 /usr/local/lib。 这 样 读者 可 以 对 PHP 项 目 做 更 多 的 定制 化 ， 如 开启 某 些 PHP 插 件 ， 或 者 对 PHP 解 释 器 进行 一 些 安全 /性 能 相关 的 配置 。 


添加 方法 很 简单 : 


FROM php:5.6-apache 
COPY config/php.ini /usr/local/lib/ 
COPY src/ /var/www/html/ 


Qs stc/ 是 当前 存放 PHP 代 码 的 文件 夹 ，config/ 文 件 夹 包含 php.ini 文 件 。 


如 果 读 者 希望 直接 使 用 Docker Hub 官 方 镜像 运行 PHP 项 目 ， 可 以 执行 : 


$ sudo docker run -it --rm --name my-apache-php-app -v "$ (pwd)":/var/www/html php:5.6-apache 


Docker Hub 中 的 优质 PHP 镜 像 很 多 ， 笔 者 特别 推荐 tutum 团 队 发 布 的 系列 镜像 (包括 apache-php) ， 具 体 地 址 可 以 在 Docker Hub 中 搜索 php 或 者 tutum php， 也 可 以 参见 资源 章节 


2. 定 制 镜像 


笔者 首先 推荐 读者 基于 本 书 第 10 章 提供 的 SSHD 镜 像 进行 自 定义 PHP 镜 像 的 制作 ， 如 此 一 来 ， 读 者 可 以 方便 地 使 用 SSH 服 务 连接 PHP 容 器 ， 即 方便 地 运行 容器 中 的 PHP 站 点 。 


下 面 ， 笔 者 将 带领 读者 从 头 操作 一 次 。 


第 一 步 ， 下 载 PHP 官 方 基础 镜像 : 


$ sudo docker pull php 

Pulling repository docker/php 
7a0d03c7b9dc: Download complete 
511136ea3c5a: Download complete 
36fd425d7d8a: Download complete 
aaabd2b41e22: Download complete 
35a6381b9f4d: Download complete 
afcdff084bd7: Download complete 
31d7cb82d7f6: Download complete 
8859f0d2ad74: Download complete 
a50bbc401f05: Download complete 
01a6ed55fbf9: Download complete 
la74afd35a74: Download complete 
da565d6c25d3: Download complete 
Status: Downloaded newer image for docker/php:latest 


下 载 完成 后 ， 可 以 使 用 docker images 查 看 PHP 基 础 镜像 是 否 安装 完成 : 


$ sudo docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
docker/php cli 7a0d03c7b9dc 6 days ago 394.7 MB 
docker/php latest 7a0d03c7b9dc 6 days ago 394.7 MB 
docker/php 5-cli 7a0d03c7b9dc 6 days ago 394.7 MB 
docker/php 5 7a0d03c7b9dc 6 days ago 394.7 MB 
docker/php 5.6 7a0d03c7b9dc 6 days ago 394.7 MB 
docker/php | 5.6-cli 7a0d03c7b9dc 6 days ago 394.7 MB 
docker/php 5.6.2 7a0d03c7b9dc 6 days ago 394.7 MB 
docker/php | 5.6.2-cli 7a0d03c7b9dc 6 days ago 394.7 MB 


命令 结果 显示 ，PHP 5.6.2 已 经 安装 完成 (5.6.2 即 为 目前 最 新 的 PHP 官 方 镜像 标签 ) 。 


第 二 步 ， 笔 者 将 在 Docker 中 运行 一 条 PHP 命 令 (CLI) : 


$ sudo docker run -it docker/php 
Interactive shell 
PhP > 


可 见 CLI 可 以 直接 输出 。 


$ sudo docker run -it php echo 'hello docker!' 
hello docker! 


第 三 步 ， 笔 者 将 在 Docker 中 运行 一 段 PHP 代 码 : 


首先 ， 读 者 需要 确定 当前 目录 位 置 ， 笔 者 使 用 pwd 命 令 ， 创 建 一 个 sample 目 录 : 


$ pwd 
/home/core 

$ mkdir sample 
$ cd sample 


此 时 笔者 已 经 确定 在 此 目录 是 有 读 写 权 限 的 ， 下 面 使 用 Vim 文 本 编辑 器 新 建 一 个 PHP 文 件 : 


$ vim demo.php 


此 时 会 打开 一 个 空 文件 ， 然 后 输入 j 进 入 Vim 的 编辑 模式 ， 输 入 一 下 代码 : 


«?php 
class demo ( 
function  construct() ( 
echo "Building Object.'; 
echo "An"; 


function hello world() { 
print 'Hello World!'; 
} 


$demo object = new demo(); 
$demo object-»hello world(); 
?» 


下 面 ， 我 们 基于 本 书 创建 的 sshd 镜 像 ， 构 建 一 个 能 够 方便 地 运行 PHP 业 务 代码 ( 非 单个 PHP CLI 命 令 ) 的 镜像 : 


FROM sshd:dockerfile 
E 安装 基础 镜像 
ENV DEBIAN FRONTEND noninteractive 
RUN apt-get update && \ 
apt-get -yq install \ 
curl V 


apache2 \ 
libapache2-mod-php5 \ 
php5-mysql \ 
php5-gd V 
php5-curl \ 
php-pear \ 
php-apc && \ 
rm -rf /var/lib/apt/lists/* 
RUN sed -i "s/variables order.*/variables order = \"EGPCS\"/g" /etc/php5/apache2/php.ini 
RUN curl -sS https://getcomposer.org/installer | php -- --install-dir-/usr/local/bin --filename-composer 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 
dpkg-reconfigure -f noninteractive tzdata 
# 注 意 这 里 要 更 改 系统 的 时 区 设置 ， 因 为 在 web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 ubuntu 会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 
# 添加 我 们 的 脚本 ， 并 设置 权限 ， 这 会 覆盖 之 前 放 在 这 个 位 置 的 脚本 
ADD run.sh /run.sh 
RUN chmod 755 /*.sh 
+ 添加 一 个 示例 的 php 站 点 ， 删 掉 默 认 安 装 在 apache 文 件 夹 下 面 的 文件 ， 并 将 我 们 添加 的 示例 用 软 链接 链 到 /var/www/html 目 录 下 面 
RUN mkdir -p /var/lock/apache2 &&mkdir -p /app && rm -fr /var/www/html && ln -s /app /var/www/html 
COPY sample/ /app 
# 设置 apache 相 关 的 一 些 变量 ， 在 容器 启动 的 时 候 可 以 使 用 -e 参 数 赫 代 
ENV APACHE RUN USER www-data 
ENV APACHE RUN GROUP www-data 
ENV APACHE LOG DIR /var/log/apache2 
ENV APACHE PID FILE /var/run/apache2.pid 
ENV APACHE RUN DIR /var/run/apache2 
ENV APACHE LOCK DIR /var/lock/apache2 
ENV APACHE SERVERADMIN admin8localhost 
ENV APACHE SERVERNAME localhost 
ENV APACHE SERVERALIAS docker.localhost 
ENV APACHE DOCUMENTROOT /vax / www 
* 使 用 80 端 口 
EXPOSE 80 
WORKDIR /app 
CMD ["/run.sh"] 


run.sh 文 件 内 容 如 下 : 


#!/bin/bash 

/usr/sbin/sshd -D & 

chown www-data:www-data /app -R 
source /etc/apache2/envvars 
exec apache2 -D FOREGROUND 


然后 ， 构 建 此 镜像 : 


$ sudo docker build -t my-php:dockerfile . 

sudo docker build -t php . 

Sending build context to Docker daemon 7.68 kB 

Sending build context to Docker daemon 

Step 0 : FROM sshd 

---» 2e89cae5flb6 

Step 1 : ENV DEBIAN FRONTEND noninteractive 

-» Using cache 

=--> cfdf02ec333c 

Step 2 : RUN apt-get update && apt-get -yq install curl apache2 libapache2-mod-php5 php5-mysql php5-gd php5-curl php-pear php-apc && rm 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Removing intermediate container 6273e14f6a91 E 

Successfully built bdb6460f17d7 


构建 镜像 成 功 后 ， 运 行 此 镜像 : 


$ sudo docker run -d -P php 
55745292b34cb085£b£2425988d00a51c451c79071£0929f£2ca4943893e33dad 


查看 是 否 启动 成 功 : 

$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

55745292b34c php:latest "/run.sh" 3 seconds ago Up 2 seconds 0.0.0.0:49159-222/tcp, 0.0.0.0:49160-280/tcp ^ happy blackwell 


使 用 49160 端 口 可 以 打开 php 页 面 ， 使 用 49159 端 口 可 以 打开 ssh 服 务 。 


$ curl 127.0.0.1:49160/demo.php 
Building Object. 
Hello World! 


我 们 还 可 以 通过 浏览 器 访问 http:// 宿 主 主机 ip: 49160 来 访问 我 们 的 示例 程序 ， 如 图 13-1 所 示 。 


C (C 192. 168. 66. 128:80 


Building Object. 


Hello World! 


P 


13-1 PHP d 


如 果 读 者 遇 到 命令 行 报 错 : ssh: connect to host coreos-ip port 10123: Connection refused， 则 请 检查 SSH 连 接 所 需 的 RSA 密 钥 是 否 生成 正确 。 


13.1.2. PHP 常用 框架 


PHP MVC 框 架 资源 非常 丰富 。 常 用 的 Web 解 决 方案 中 涉及 的 有 Zend、Yii、CakePHP、ThinkPHP、Codelgniter、Lavarel 等 。 笔 者 将 以 CakePHP 框 架 为 主 ， 其 他 框架 为 辅 ， 阐 述 Docker 的 各 种 使 


方法 。 


1.CakePHP 


CakePHP 是 Rails 风 格 的 全 栈 开源 MVC 框 架 (此 处 的 全 栈 Full-stack Framework， 是 相对 于 Yaf 这 类 微 框架 micro-framework 而 言 的 ) ，CakePHP 提 供 了 完整 的 高 级 框架 所 需 提供 的 所 有 组 件 ， 如 脚 手 
架 (代码 生成 器 ) 、 模 板 引擎 、 功 能 全 面 的 ORM ， 完 整 的 面向 对 象 的 封装 (包括 CakeRequest、AppModel、AppController 等 ) 。CakePHP 社 区 完善 ， 企 业 级 使 用 者 众多 ， 是 优秀 的 快速 开发 框架 。 


使 用 官方 镜像 的 方法 如 下 。 


第 一 步 ， 下 载 Docker Hub 镜 像 : 


$ sudo docker pull vcarl/cakephp 


第 二 步 ， 使 用 docker run 命 令 运行 CakePHP 容 器 : 


$ sudo docker run -d -p 80:80 -p 443:443 -v /path/to/project:/var/www/html vcarl/apache 


注意 ，/path/to/project 不 能 指向 app/ 文 件 夹 内 部 ， 而 应 该 指向 项 目 根 目录 。 


第 三 步 ， 打 开 浏 览 器 ， 打 开 localhost: 80 查 看 运行 结果 ， 如 图 13-2 所 示 。 


Release Notes for CakePHP 2.2.7. 
Read the changelog 


Your version of PHP is 5.2.8 or higher. 


Your tmp directory is writable. 


The FileEngine is being used for core caching. To change the config edit APP/Config/core.php 


Your database configuration file is present. 


Editina this Paae 


图 13-2 CakePHP H 


如 果 读 者 需要 运行 现 有 CakePHP 项 目 ， 则 可 以 选择 使 用 上 文 的 实战 演练 中 的 方法 一 一 基于 第 10 章 的 SSHD 镜 像 ， 自 定义 Dockerfile 后 ， 构 建 CakePHP 镜 像 。 这 样 可 以 方便 地 使 用 SSH 服 务 连 接 
CakePHP 镜 像 。 当 然 ， 读 者 也 可 以 到 Docker Hub 自 行 搜索 CakePHP 第 三 方 镜像 。 


2.Zend 


Zend Framework (ZF) 是 用 PHP 5 来 开发 Web 程 序 和 服务 的 开源 框架 。ZF 用 1009% 面 向 对 象 编码 实现 。ZF 的 组 件 结构 独一无二 ， 每 个 组 件 几乎 不 依靠 


他 组 件 。 这 样 的 松 耘 合 结构 (use-at-will) 可 
以 让 开发 者 独立 使 用 各 种 组 件 。 正 确 使 用 Zend Framework 可 以 保持 良好 的 代码 结构 和 高 可 维护 性 ， 即 使 是 规模 庞大 的 Web 项 目 。Zend 框 架 是 PHP Web 方 案 的 常用 选 型 之 一 。 它 比较 适合 业务 逻辑 复杂 ， 
并 且 对 拓展 性 、 稳 定性 要 求 较 高 的 中 大 型 Web 项 目 。 


使 用 Zend Framework 最 简单 的 方式 是 安装 Zend Server。 下 面 笔 者 将 介绍 Zend Server 及 其 Docker 化 部 署 。 


Zend server 是 针对 于 关键 Web 业 务 的 Web 应 用 服务 器 ， 适 合 企业 级 解决 方案 。 笔 者 在 此 简略 介绍 一 下 Zend Server 的 特性 : 


“ 企业 级 PHP: 一 款 最 新 的 ， 经 受 测试 以 及 支持 PHP 堆 栈 的 服务 器 ， 它 可 以 确保 应 用 程序 的 高 可 靠 性 、 提 高 应 用 程序 的 安全 性 以 及 效率 。 


.使 部 署 更 有 信心 : 在 开发 中 使 用 一 个 完整 的 和 一 致 的 环境 ， 这 样 在 部 署 过 程 中 读者 可 以 消除 许多 测试 和 运行 所 遇 到 的 问题 。 


“ 快速 问题 响应 : 利用 先进 的 应 用 程序 监测 和 诊断 ， 能 及 时 发 现 问题 并 能 快速 分 析 问 题 的 根源 。 
: 最 好 的 应 用 性 能 : 内 置 的 优化 和 加 速 功能 ， 确 保 了 高 性 能 和 低 资 源 利用 率 。 

“ 代码 加 速 : PHP 的 字 节 码 缓存 提高 性 能 而 没有 使 应 用 程序 发 生变 化 。 

“ 完全 页 面 缓存 : 以 URIL 为 基础 的 HTML 输 出 缓存 ， 它 不 需要 任何 应 用 程序 的 变 。 

“ 部 分 页 面 缓存 : 它 允 许 开 发 人 员 能 够 在 共享 内 存 或 磁盘 中 缓存 数据 。 

使 用 官方 镜像 


Zend Serverf£Docker Hub 上 以 php-zendserver 的 名 称 标 示 。 首 先 ， 我们 下 载 Zend Server 的 Docker Hub 官 方 镜像 : 


$ sudo docker pull php-zendserver 


如 果 读者 对 Zend Server 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 便于 在 下 一 步 的 Dockerfile 的 FROM 指令 中 明确 Zend Server 版 本 号 。 官 方 镜像 都 有 明确 的 标签 列表 ， 具 体 地 址 可 以 参见 后 
面 “ 相 关 资 源 ”部 分 。 


创建 并 运行 单个 Zend Server 容 器 : 


$ sudo docker run php-zendserver 


1) 如 果 你 对 PHP 和 Zend Server 的 版 本 都 有 要 求 ， 可 以 在 docker run 命 令 中 加 入 : : <php-version> 或 者 : <ZS-version>-php<version>。 目 前 可 供 使 用 的 PHP 版 本 有 5.4 和 5.5 (默认 ) , Zend 
Server 版 本 为 7 (如 : php-zendserver: 7.0-php5.4) 。 


2) 如 果 需 要 使 用 特定 版 本 的 Zend Server， 也 可 以 选择 直接 下 载 此 版 本 的 镜像 : 


Zend Server 5.4Docker 官 方 镜像 : docker pull zend/php-5.4-zend-server 


Zend Server 5.5Docker 官 方 镜像 : docker pull zend/php-5.5-zend-server 


3) 如 果 读者 需要 搭建 一 个 Zend Server 集 群 ， 并 在 每 个 Zend 集 群 节点 ( 即 Cluster Node) 都 使 用 来 自 官方 镜像 的 Zend Server 容 器 ， 那 么 可 以 在 每 个 节点 执行 : 


$ sudo docker run -e MYSQL HOSTNAME-«db-ip» -e MYSQL PORT=3306 -e MYSQL USERNAME-«username» -e MYSQL PASSWORD-«password» -e MYSQL DBNAME-zend php-zendserver 


如 果 读者 需要 执行 自 定义 操作 ， 可 以 自 定 义 Dockerfile， 以 生成 自 定义 的 镜像 ， 步 骤 如 下 : 


1) 修改 Dockerfile， 加 入 定制 内 容 。 在 含有 Dockerfile 的 根 目录 执行 以 下 语句 构建 镜像 : 


$ sudo docker build . 


执行 完毕 后 ， 命 令 行 会 输出 镜像 的 ID (image-id) . 


2) 通过 镜像 ID， 启 动 单个 Zend Server 容 器 : 


$ sudo docker run «image-id» 


如 果 读者 需要 搭建 一 个 Zend Server 集 群 ， 并 在 每 个 Zend 集 群 节点 ( 即 Cluster Node) 都 使 用 来 自 自 定义 镜像 的 Zend Server 容 器 ， 那 么 读者 可 以 在 每 个 节点 执行 : 


$ sudo docker run -e MYSQL HOSTNAME-«db-ip» -e MYSQL PORT-3306 -e MYSQL USERNAME-«username» -e MYSQL PASSWORD-«password» -e MYSQL DBNAME-zend <image-id> 


注意 以 下 几 点 : 
1) 当 运 行 多 个 容器 ( 即 Instance 实 例 ) 时 ， 只 有 一 个 实例 只 可 以 绑 定 至 一 个 端口 〈 命 令 中 的 port) 。 如 果 需 要 运行 一 个 集群 ， 可 以 有 两 个 做 法 : a) 将 不 同 的 若干 端口 分 别 定向 至 各 个 节点 。b) 将 不 


同 的 若干 端口 分 别 定向 至 各 个 容器 。 


2) 使 用 环境 变量 。 使 用 预定 义 的 管理 员 用 户 名 密码 启动 Zend Server: -ZS_ADMIN_PASSWORD。 集 群 操作 中 的 MySQL 变 量 (以 下 指令 都 是 节点 正常 加 入 集群 所 必须 的 ) : 


- MYSQL HOSTNAME: MySQL 数 据 库 的 ip 或 hostname。 
- MYSQL PORT: MySQL 监听 的 端口 。 
- MYSQL_USERNAME-MYSQL PASSWORD-MYSQL DBNAME: 集群 操作 时 Zend Server 使 用 的 数据 库 用 户 名 密码 (如果 不 存 在 将 会 新 建 ) 。 


3) ZEND LICENSE KEY-ZEND LICENSE ORDER: 使 用 已 购买 的 许可 证 。 


4) 每 个 Zend Server 的 Docker 容 器 至 少 需要 1GB 的 可 用 内 存 。 


3.Symfony 


e Symfony 


Symfony 是 一 个 优秀 的 以 依赖 注入 为 核心 的 全 栈 式 PHP MVC 开 发 框架 。 它 以 设计 完善 和 性 能 优越 著称 。 它 提供 模板 系统 ， 数 据 持 久 层 ， 代 码 生成 器 ， 以 及 大 量 可 复 用 的 功能 集合 (Bundle) . [8i 
Symfony 以 依赖 注入 的 方式 给 开发 者 提供 了 近 平 无 限 的 扩展 性 。 


使 用 Docker Hub 镜 像 


运行 Symfony 最 简便 的 方法 是 去 Docker Hub 直 接 搜索 相关 关键 字 并 直接 下 载 Symfony 镜 像 : 


$ sudo docker pull gregory90/php-symfony 


或 者 


$ sudo docker pull teamrock/symfony2 


由 于 这 种 方式 有 一 定局 限 性 ， 对 于 需要 执行 已 有 Symfony 项 目的 用 户 并 不 实用 ， 所 以 读者 也 可 以 如 下 文 所 示 定 制 镜像 。 


定制 镜像 


读者 可 以 基于 SSHD 镜 像 定制 ， 也 可 以 使 用 以 下 Dockerfile 来 定制 镜像 : 


# 获取 apache 基础 镜像 

FROM teamrock/apache2:production 

RUN DEBIAN FRONTEND-noninteractive apt-get update -y 

RUN DEBIAN FRONTEND-noninteractive apt-get install -y php5-imagick php5-gd php5-intl php5-mcrypt php5-apcu php5-curl php5-mysql 
* 添加 vhost 配置 

ADD ./virtual-host.conf /etc/apache2/sites-enabled/0-virtual-host.conf 

# 添加 安装 脚本 

ADD ./run.sh /tmp/run.sh 

M ES 

ENTRYPOINT [ "/bin/bash", "/tmp/run.sh" ] 


4.Phalcon 


* phelcon 


PhalconPHP 是 一 个 使 用 C 扩 展开 发 的 PHP Web 框 架 ， 提 供 高 性 能 和 低 资 源 占用 。 


Phalcon 是 一 个 开源 的 、 全 堆栈 的 PHP 5 框架 ， 使 用 C 扩 展 编写 ， 专 门 为 高 性 能 优化 。 无 需 学 习 和 使 用 C 语 言 ， 所 有 函数 都 以 PHP 类 的 方式 出 现 。Phalcon 是 一 个 松 看 合 的 框架 。 


Phalcon 是 目前 PHP MVC 框 架 中 性 能 最 高 的 全 栈 框 架 ，Yaf 也 具有 极 高 的 性 能 ， 但 是 非 全 栈 框架 。 


使 用 Docker Hub 镜 像 


安装 Docker Hub 上 的 Phalcon 镜 像 : 


$ sudo docker pull szeist/phalcon-apache2 


创建 并 运行 Phalcon 镜 像 : 


$ sudo docker run -v /document/root/on/your/mahine:/var/www -p 8080:80 szeist/phalcon-apache2 


此 时 Apache 服 务 器 会 在 TCP 端 口 8080 运 行 PhalconPHP 框 架 。-Vv 命 令 后 的 文件 夹 就 是 Phalcon 项 目的 根 目录 。 
定制 镜像 


笔者 推荐 读者 基于 本 书 第 10 章 使 用 的 SSHD 镜 像 来 定制 自 定义 镜像 ， 这 样 可 以 方便 地 使 用 SSH 服 务 访问 Phalcon 容 器 。 当 然 ， 读 者 也 可 以 使 用 第 三 方 Dockerfile 来 定制 镜像 : 


FROM szeist/phalcon 

ENV DEBIAN FRONTEND noninteractive 

RUN apt-get install -y -q apache2 libapache2-mod-php5 ;\ 
a2enmod rewrite 

RUN apt-get clean 

ADD etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/000-default.conf 

ENV DEBIAN FRONTEND dialog 

ENV APACHE RUN USER www-data 

ENV APACHE RUN GROUP www-data 

ENV APACHE LOG DIR /var/log/apache2 

ENV APACHE LOCK DIR /var/lock/apache2 

ENV APACHE RUN DIR /var/run/apache2 

ENV APACHE PID FILE /var/run/apache2/apache2.pid 

EXPOSE 80 — ` 

ENTRYPOINT ["/usr/sbin/apache2"] 

CMD ["-D", "FOREGROUND"] 


13.1.3 ”相关 资源 
PHP 官 网 : http://php.net/ 
PHP Docker 官 方 镜像 : https://registry.hub.docker.com/ /php/ 
PHP tutum 镜 像 : https://registry.hub.docker.com/u/tutum/apache-php/ 
PHP tutum Dockerfile: https://registry.hub.docker.com/u/tutum/apache-php/dockerfile/ 
CakePHP 框 架 官网 : http;//cakephp.org/ 
CakePHP Docker Hub 镜 像 : https://registry.hub.docker.com/u/vcarl/cakephp/ 
Zend 框 架 官网 : http://framework.zend.com/ 
Zend Server 官 网 : http://www.zend.com/en/products/server 
Zend Server Docker 官 方 镜像 : https;//registry.hub.docker.com/ /php-zendserver/ 
Zend Server Docker 官 方 镜像 标签 : https://registry.hub.docker.com/_/php-zendserver/tags/manage/ 
Zend Server 5.4Docker 官 方 镜像 : https://registry.hub.docker.com/u/zend/php-5.4-zend-server/ 
Zend Server 5.5Docker 官 方 镜像 : https://registry.hub.docker.com/u/zend/php-5.4-zend-server/https://registry.hub.docker.com/u/zend/php-5.5-zend-server/ 
Symfony 2 框架 官网 : http://symfony.com/ 
Symfony 2Dockerfile: https://registry.hub.docker.com/u/gregory90/php-symfony/dockerfile/ 
Phalcon 框 架 官 网 : http://www.phalconphp.com/en/ 
Phalcon Docker Hub 镜 像 : https://registry.hub.docker.com/u/szeist/phalcon-apache2/ 


Phalcon Dockerfile: https://registry.hub.docker.com/u/szeist/phalcon-apache2/dockerfile/ 


132 C/C««* 


本 节 将 介绍 三 款 流行 的 C/C+ + 开发 环境 : GCC、LLVM 和 Clang。 


132:1. GEE 


GCC (GNU Compiler Collection) 是 一 个 开源 的 C/C++ 语言 的 编译 器 系统 ， 它 由 GNU 项 目 主 持 。GCC 支 持 多 种 编程 语言 ， 并 支持 交叉 编译 至 多 种 指令 集 的 处 理 器 (Target Processor) 。GCC 是 
GNU 工 具 链 的 关键 组 件 ， 遵 循 GNU GPL 协议 。 


1 使 用 


官方 镜像 


将 C/C++ 代 码 运行 在 GCC 容器 内 的 最 简 方法 ， 就 是 将 GCC 编译 指令 写 入 Dockerfile 中 ， 然 后 使 用 此 Dockerfile 构 建 自 定 义 镜像 ， 最 后 直接 运行 此 镜像 ， 即 可 启动 程序 。 


假定 在 当前 目录 创建 一 个 C 语 言 源 文件 main.c， 内 容 可 能 为 : 


/* Hello World program */ 
#include<stdio.h> 
int main() 


{ 


printf ("Hello World\n"); 
return 0 


首先 ， 从 官方 仓库 获取 GCC 基 础 镜像 : 


$ sudo 


docker pull gcc 


如 果 对 GCC 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 镜像 标签 ， 并 在 下 一 步 的 Dockerfile 的 FROM 指令 中 明确 GCC 版 本 号 。 


之 后 ， 在 Dockerfile 中 ， 加 入 需要 执行 的 GCC 编译 命令 : 


FROM gcc:4.9 


COPY 


. /usr/src/myapp 


WORKDIR /usr/src/myapp 
RUN gcc -o myapp main.c 


CMD [". 


/myapp" 


现在 ， 就 可 以 使 用 Dockerfile 来 构建 镜像 my-gcc-app: 


$ sudo 


docker build -t my-gcc-app . 


创建 并 运行 此 容器 ， 会 编译 并 运行 程序 ， 输 出 Hello World: 


$ sudo 


docker run -it --rm --name my-running-app my-gcc-app 


Hello World 


$ 


如 果 只 需要 容器 编译 程序 ， 而 不 需要 运行 它 ， 可 以 使 用 如 下 命令 : 


$ sudo docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp gcc:4.9 gcc -o myapp myapp.c 


以 上 命令 会 将 当前 目录 ("$ (pwd) " ) 挂 载 到 容器 的 /usr/src/myapp 


如 果 项 目 已 经 编写 好 了 Makefile， 也 可 以 在 容器 中 直接 执行 make 命 令 : 


录 ， 并 执行 gcc-o myapp myapp.c.。GCC 将 会 编译 myapp.c 代 码 ， 并 将 生成 的 可 执行 文件 输出 至 /usr/src/myapp 文 件 夹 。 


$ sudo docker run --rm -v "$ (pwd)":/usr/src/myapp -w /usr/src/myapp gcc:4.9 make" 


2. 定 制 镜像 


读者 可 以 基于 本 书 第 10 章 中 使 用 的 SSHD 基 础 镜像 来 定制 GCC 镜像 ， 构 建 后 直接 运行 。 读 者 也 可 以 使 用 Docker Hub 中 提供 的 第 三 方 Dockerfile， 定 制 或 修改 后 构建 镜像 ， 然 后 运行 容器 即 可 。 下 


者 给 出 了 基于 buildpack-deps: wheezy 镜 像 创 建 GCC 镜像 的 Dockerfile: 


m 


# https://registry.hub.docker.com/u/snormore/llvm/dockerfile/ 
FROM buildpack-deps:wheezy 
# https://gcc.gnu.org/mirrors.html 


RUN gpg 


--keyserver pgp.mit.edu --recv-key \ 


B215C1633BCA0477615F1B35A5B3A004745C015A 


B3C42148A44E6983B3E4CCO793FA9B1AB75C61B8 


80F98B2EODAB6C8281BDF541A7C8C3B2F71EDF1C 


X 
X 
90AA470469D3965A87A5DCB494D03953902C9419 v 
N 
N 


7F'74F977C103468EE5D750B583AB00996FC26A641 
33C235A34C46AA3FFB293709A328C3A2C3C45C06 
ENV GCC VERSION 4.9.1 
# 下 载 需要 的 tar 格 式 源码 并 解压 安装 
RUN apt-get update \ 


&& 
&& 
&& 
&& 
&& 
&& 
&& 
&& 
&& 
&& 
&& 
&& 
&& 
&& 


&& 
&& 
&& 
&& 
&& 


apt-get install -y curl flex wget \ 

rm — /var/lib/apt/lists/* \ 

curl -SL "http://ftpmirror.gnu.org/gcc/gcc-$GCC VERSION/gcc 
curl -SL "http://ftpmirror.gnu.org/gcc/gcc-$GCC VERSION/gcc 
gpg --verify gcc.tar.bz2.sig \ 

mkdir -p /usr/src/gcc \ 

tar -xvf gcc.tar.bz2 -C /usr/src/gcc --strip-components-1l \ 
rm gcc.tar.bz2* \ 

cd /usr/src/gcc N 

./contrib/download prerequisites V 

( rm *.tar.* || true; ) \ 

dir="$ (mktemp -d)" V 

cd "$dir" N 

/usr/src/gcc/configure N 

-—-disable-multilib \ 

--enable-languages-C, c++ V 

make -j"$(nproc)" \ 

make install-strip V 


-$GCC VERSION.tar.bz2" -o gcc.tar.bz2 N 
—-$GCC VERSION.tar.bz2.sig" -o gcc.tar.bz2.sig \ 


cd http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/.. \ 


rm -rf "$dir" \ 
apt-get purge -y --auto-remove curl gcc g++ wget 


13.2.2 LLVM 


LLVM (Low Level Virtual Machine) 是 一 个 起 源 于 2000 年 的 编译 器 基础 建设 项 目 ， 以 C++ 实 现 ， 包含 LLVM 中 介 码 (LLVM IR) 、LLVM 除 错 工具 、LLVM C++ 标准 库 等 。 该 项 目 是 为 了 对 任意 编程 


语言 实现 的 程序 ， 利 
Java bytecode, Obj 


虚拟 技术 ， 创 造 出 编译 时 期 、 链 结 时 期 、 运 行 时 期 以 及 “闲置 时 期 ”的 优化 。 它 最 早 是 以 C/C++ 为 对 象 ， 目 前 已 经 支持 了 包括 ActionScript、Ada、D、Fortran、GLSL、Haskell、 
jective-C、Swift、Python、Ruby、Rust、Scala 以 及 C# 等 众多 语言 。 


1. 使 用 官方 镜像 


在 Docker Hub 中 已 经 有 用 户 提供 了 LLVM 的 镜像 ， 读 者 可 以 直接 下 载 使 


$ sudo docker pull bowery/clang 


2. 定 制 镜像 
读者 可 以 基于 本 书 第 10 章 中 使 用 的 SSHD 基 础 镜像 来 定制 GCC 镜像 ， 构 建 后 直接 运行 。 读 者 也 可 以 使 用 Docker Hub 中 提供 的 第 三 方 Dockerfile， 定 制 或 修改 后 构建 镜像 ， 然 后 运行 容器 即 可 。 


13.2.3 Clang 


Clang 是 一 个 用 C++ 实现 、 基 于 LLVM 的 C/C+ - /Objective C/Objective C++ 编译 器 ， 其 目标 (之 一 ) 就 是 超越 GCC 成 为 标准 的 C/C+ + 编译 器 ， 它 遵循 LLVM BSD 许 可 。Clang 最 初 是 Apple 公 司 为 了 
解决 使 用 GCC 编译 Objective-C 的 问题 ， 从 头 实 现 的 一 套 编译 器 系统 。 


Clang 有 如 下 特性 : 


De: 通过 编译 OS X 上 几乎 包含 了 所 有 C 头 文件 的 catbon.h 的 测试 ， 包 括 预 处 理 (Preprocess) 、 语 法 (lex) 、 和 解析 (parse) 、 语 义 分 析 (Semantic Analysis) 、 抽 象 语法 树 生成 (Abstract Syntax Tree) 的 


时 间 ，Clang 比 GCC 4.0 快 2.5 倍 。 
:内存 占 用 小 : Clang 内 存 占用 约 是 源码 的 1.3 倍 ， 而 Apple GCC 则 超过 10 倍 的 内 存 使 用 。 
“ 诊断 信息 可 读 性 强 : Clang 对 于 错误 的 语法 不 但 有 源码 提示 ， 还 会 在 错误 的 调用 和 相关 上 下 文 上 有 更 好 提示 。 
| 良好 的 GCC 兼容 性 。 
“ 设计 清晰 简单 ， 容 易 理解 ， 易 于 扩展 增强 。 与 代码 基础 十 老 的 GCC 相 比 ， 学 习 曲 线 平缓 。 


“ 基于 库 的 模块 化 设计 ， 易 于 IDE 集 成 及 其 他 用 途 的 重用 。 由 于 历史 原因 ，GCC 是 一 个 单一 的 可 执行 程序 编译 器 ， 其 内 部 完成 了 从 预 处 理 到 最 后 代码 生成 的 全 部 过 程 ， 中 间 诸多 信息 都 无 法 被 其 他 程序 
重用 。Clang 将 编译 过 程 分 成 彼此 分 离 的 几 个 阶段 ，AST 信 息 可 序列 化 。 通 过 库 的 支持 ， 程 序 能 够 获取 到 AST 级 别 的 信息 ， 将 大 大 增强 对 于 代码 的 操控 能 力 。 对 于 IDBE 而 言 ， 代 码 补 全 、 重 构 是 重要 的 功能 ， 然 
而 如 果 没 有 底层 的 支持 ， 只 使 用 tags 分 析 或 正则 表达 式 匹配 是 很 难 达成 的 。 


1. 使 用 官方 镜像 


在 Docker Hub 中 已 经 有 用 户 提供 了 Clang 的 镜像 ， 读 者 可 以 直接 下 载 使 用 。 


$ sudo docker pull bowery/clang 


2. 定 制 镜像 


如 前 文 所 说 ， 读 者 可 以 基于 SSHD 镜 像 自 定义 Dockerfile。 也 可 以 使 用 Docker Hub 中 的 第 三 方 镜像 构建 Clang 容 器 。 这 里 笔者 以 ubuntu : trusty 系 统 为 例 ， 下 面 给 出 了 一 个 示例 Dockerfile 文 件 : 


# https://registry.hub.docker.com/u/rsmmr/clang/dockerfile 
FROM ubuntu:trusty 

# 设置 环境 变量 

ENV PATH /opt/llvm/bin:$PATH 

# 确定 默认 的 启动 命令 

CMD bash 

# 安装 依赖 包 Setup packages. 

RUN apt-get update && apt-get -y install cmake git build-essential vim python 
# 将 install-clang 找 贝 至 本 目录 

ADD . /opt/install-clang 

# 编译 和 安装 LLVM/clang 

RUN /opt/install-clang/install-clang -j 4 -C /opt/llvm 


13.3 Java 


Java 是 一 种 拥有 跨 平台 、 面 向 对 象 、 泛 型 编程 特点 的 编译 型 语言 ， 


1. 使 用 官方 镜像 


广泛 应 
依赖 ， 致 力 于 允许 Java 应 用 的 开发 者 “开发 一 次 ， 到 处 运行 ”。 这 就 意味 着 java 的 二 进 制 编 码 不 需要 再 次 编辑 ， 朋 


常 受 欢 迎 。 


用 于 企业 级 Web 应 用 开发 和 移动 应 | 


开发 。 它 是 并 发 的 ， 基 于 类 的 面向 对 象 的 高 级 语言 。Java 的 设计 理念 是 尽 可 能 地 减少 部 署 


可 运行 在 异 构 的 JVM 上 。Java 在 大 型 互联 网 项 目 ， 特 别 是 互联 网 金融 和 电子 商务 项 目 中 非 


将 Java 代 码 运行 在 Docker 容 器 中 的 最 简单 方法 ， 就 是 将 Java 编 译 指令 直接 写 入 Dockerfile， 然 后 使 用 此 Dockerfile 构 建 镜 像 ， 最 后 直接 运行 此 镜像 ， 即 可 启动 程序 。 具 体 步骤 如 下 : 


首先 ， 从 官方 仓库 获取 Java 基 础 镜像 : 


$ sudo docker pull java 


然后 ， 在 本 地 新 建 一 个 空 目录 ， 在 其 中 创建 Dockerfile 文 件 。 在 Dockerfile 中 ， 加 入 需要 执行 的 Java 编 译 命令 ， 例 如 : 


FROM java:7 

COPY . /usr/src/myapp 
WORKDIR /usr/src/myapp 
RUN javac Main.java 
CMD ["java", "Main"] 


使 用 此 Dockerfile 构 建 镜像 my-java-app: 


$ sudo docker build -t my-java-app . 


然后 ， 运 行 此 镜像 即 自动 编译 程序 并 执行 : 


$ sudo docker run -让 --rm --name my-running-app my-java-app 


如 果 只 需要 容器 中 编译 Java 程 序 ， 而 不 需要 运行 ， 则 可 以 使 用 如 下 命令 : 


$ sudo docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp java:7 javac Main.java 


以 上 命令 会 将 当前 目录 ("$ (pwd) " ) 挂 载 为 容器 的 工作 目录 ， 并 执行 javac Mainjava 命 令 编译 代码 。 生 成 的 可 执行 文件 将 输出 至 当前 目录 下 。 


2. 定 制 镜像 


笔者 建议 用 户 基于 第 10 章 的 SSHD 镜 像 来 自 定义 Dockerfile。 当 然 ， 读 者 也 可 以 基于 各 种 系统 基础 镜像 (如 Ubuntu) 来 定制 Jlava 镜 像 。 此 处 笔者 给 出 了 基于 dockerfile/ubuntu 镜 像 创建 Java 镜 像 的 
Dockerfile 文 件 ， 供 读者 参考 : 


OpenJDK Java 7 JRE Dockerfile 


https://github.com/dockerfile/java 
https://github.com/dockerfile/java/tree/master/openjdk-7-jre 


使 用 Ubuntu 基 础 镜像 
FROM dockerfile/ubuntu 
# 安装 Java 环 境 
RUN N 
apt-get update &amp;&amp; \ 
apt-get install -y openjdk-7-jre &amp;&amp; \ 
rm -rf /var/lib/apt/lists/* 
# 定义 工作 目录 
WORKDIR /data 
# 定义 环境 变量 
ENV JAVA HOME /usr/lib/jvm/java-T-openjdk-amd64 
# 定义 默认 启动 命令 
CMD [ bash ] 


dE dbEGEdE de dE 


3. 相 关 资 源 
- Java Docker 官 方 镜像 : https:/ /registry.hub.docker.com/ /java/ 


“ Java Docker 官 方 镜像 标签 : https://registry.hub.docker.com/_/java/tags/manage/ 


13.4 Python 


13.4.1 ”Python 技术 栈 


的 、 开 源 的 动态 脚本 语言 。 它 集成 了 模块 (modules) 、 异 常 处 理 (exceptions) 、 动 态 类 型 (dynamic typing) 、 高 级 数据 结构 (元 组 、 列 
。Python 还 可 以 作为 各 种 需要 可 编程 接口 的 应 用 : 无 论 是 各 


Python 是 一 种 解释 型 的 、 带 CH 交互 接口 的 、 面 向 对 象 | 
表 、 序 列 ) ， 以 及 类 (classes) 等 高 级 特性 。Python 设 计 精 良 ， 语 法 简约 ， 表 达能 力 很 强 。Python 代 码 与 C/C++ 代 码 之 间 可 以 方便 地 相互 调 


的 可 移植 性 非常 强 ， 所 有 的 当前 主流 操作 系统 (Windows 2000+， 所 有 Mac， 类 Unix 系 统 ) 都 支持 Python。Python 非 常 适合 敏捷 Web 开 发 的 


种 系统 管理 接口 ， 还 是 各 种 需要 交互 式 CLI 的 应 用 。Python 
各 种 应 用 场景 。 在 中 小 型 团队 中 ， 可 以 选择 Python 作为 Restful API 后 端 或 者 移动 App 后 端的 实现 语言 。 


下 面 ， 笔 者 将 带领 大 家 使 用 Docker 部 署 Python 环 境 ， 以 及 部 署 Python 技 术 栈 中 的 主流 框架 。 


1. 使 用 官方 镜像 


我 们 可 以 使 用 Docker 官 方 的 Python 镜像 作为 基础 ， 在 此 之 上 进行 必要 的 定制 : 


第 一 步 ， 下 载 Docker 官 方 的 Python 镜像 : 


$ sudo docker pull python 


如 果 读者 对 Python 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 便于 在 下 一 步 的 Dockerfile 的 FROM 指令 中 明确 Python 版 本 号 。 官 方 镜像 都 有 明确 的 标签 列表 ， 具 体 地 址 可 以 参见 本 章 的 “相关 
资源 ”部 分 。 


第 二 步 ， 在 读者 的 Python 项 目 中 新 建 一 个 Dockerfile : 


FROM python:3-onbuild 
CMD [ "python", "./your-daemon-or-script.py" ] 


如 果 读 者 需要 使 用 Python 2 的 话 ， 可 用 下 列 命令 : 


FROM python:2-onbuild 
CMD [ "python", "./your-daemon-or-script.py" ] 


之 后 读者 就 可 以 在 一 个 Python 容器 中 运行 自己 的 程序 了 。 


第 三 步 ， 通 过 此 Dockerfile， 构 建 自 定义 的 镜像 : 


$ sudo docker build -t my-python-app . 


第 四 步 ， 创 建 容器 并 运行 : 


$ sudo docker run -it --rm --name my-running-app my-python-app 


如 果 读 者 只 需要 运行 单个 Python 脚本 ， 那 么 无 需 使 用 Dockerfile 构 建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Python 镜像 ， 带 参数 运行 容器 : 


$ sudo docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp Python:3 python your-daemon-or-script.py 


如 果 读者 需要 使 用 Python 2 的 话 ， 可 用 下 列 命令 : 


$ sudo docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp Python:2 python your-daemon-or-script.py 


2. 定 制 镜像 


者 首先 推荐 读者 基于 本 书 第 10 章 的 SSHD 镜 像 进行 Python 镜像 的 定制 ， 这 样 可 以 使 用 SSH 服 务 方便 地 访问 Python 容器 。 当 然 ， 也 可 以 使 用 以 下 Dockerfile 来 定制 镜像 : 


FROM buildpack-deps 
# 系统 更 新 
RUN apt-get update && apt-get install -y curl procps 
# 清理 Debian 系 统 已 有 的 Python 环境 
RUN apt-get purge -y python python-minimal python2.7-minimal 
RUN mkdir /usr/src/python 
WORKDIR /usr/src/python 
# 设置 系统 变量 
ENV LANG C.UTF-8 
ENV PYTHON VERSION 2.7.8 
RUN curl -SL "https://www.python.org/ftp/python/$PYTHON VERSION/Python-S$PYTHON VERSION.tar.xz" V 
| tar -xJ --strip-components-l il m 
"test listfolders" with "AssertionError: Lists differ: [] != ['deep', 'deep/fl', "'deep/f2', http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompres 
RUN ./configure \ 
&& make -j$(nproc) V 
&& make EXTRATESTOPTS-'--exclude test file2k test mhlib' test V 
&& make install V ü 本 
&& make clean 
# 安装 pip 和 virtualenv 
RUN curl -SL 'https://bootstrap.pypa.io/get-pip.py' | Python2 


RUN pip install virtualenv 


web development, 
one drop at a time 


134.2 Flask 


Flask 是 一 个 使 用 Python 编写 的 轻 量 级 Web 应 用 框架 。 基 于 Werkzeug WSGI 工 具 箱 和 Jinja2 模 板 引擎 。Flask 使 用 BSD 授 权 。Flask 也 称 为 “microframework”， 因 为 它 仅仅 使 用 简单 的 核心 ， 使 用 
extension 来 增加 其 他 功能 。 


笔者 在 此 简 述 一 下 Flask 的 特色 : 
“ 内 置 开发 用 服务 器 和 调试 器 (debuggert) 
“ 集成 单元 测试 (unit testing) 
“RESTful request dispatching 
: 使 用 Jinja2 模 板 引擎 
“ 支持 secure cookies (client side sessions) 


- 10094 N'SGI 1.0 兼 容 


* Unicode based 
“ 详细 的 文件 、 教 学 
* Google App Engine 兼 容 


- 可 用 Extensions 增 加 其 他 功能 


Flask 是 目前 广 受 欢迎 的 Python Web 技 术 选 型 之 一 。 


1. 使 用 官方 镜像 


第 一 步 ， 项 目 准 备 工 作 : 构建 Flask App 目 录 : 


templates/ 


run.py: 


f'flask/bin/python 

from app import app 

app.run(host-'0.0.0.0', port=5000, debug-True) 
.init.py: 

from flask import Flask 

app = Flask( name ) 

from app import views 


第 二 步 ， 下 载 Docker Hub 的 Flask 镜 像 : 


$ sudo docker pull verdverm/flask 


第 三 步 ， 创 建 并 运行 Flask 容 器 (Flask 的 App 代 码 作为 Docker 数 据 卷 ) : 


$ sudo docker run -d --name flask-app \ 
-v /path/to/app/src:/src 
-p 5000:5000 V 
verdverm/flask 


2. 定 制 镜像 


笔者 首先 推荐 读者 基于 本 书 第 10 章 的 SSHD 镜 像 进行 Flask 镜 像 的 定制 ， 这 样 可 以 使 用 SSH 服 务 方便 的 访问 Flask 容 器 。 当 然 ， 读 者 也 可 以 使 用 以 下 Dockerfile 来 定制 镜像 : 


FROM google/debian:wheezy 
# 系统 更 新 

RUN apt-get update 

# 安装 Python 环境 

RUN apt-get --no-install-recommends install -y python-setuptools build-essential python-dev libpq-dev ca-certificates 
# 安装 pip 

RUN easy install pip 

ADD requirements.txt /tmp/requirements.txt 

# 安装 requirements .txt 中 的 依赖 包 ， 此 处 可 至 

RUN pip install -r /tmp/requirements.txt 

EXPOSE 5000 

VOLUME ["/src"] 

WORKDIR /src 

ENTRYPOINT [&quot;python&quot;, &quot;/src/run.py&quot;] 
CMD [&quot;runserver&quot;] 


13.4.8 Django 


Django 是 一 个 开放 源 代码 的 Web 应 用 框架 ， 由 Python 写成 。 采 用 了 MVC 的 软件 设计 模式 ， 即 模型 M、 视 图 V 和 控制 器 C。 它 最 初 是 用 于 管理 劳伦斯 出 版 集团 旗下 的 一 些 以 新 闻 内 容 为 主 的 网 站 的 。 并 
于 2005 年 7 月 在 BSD 许 可 证 下 发 布 。 这 套 框架 是 以 比利时 的 吉普 赛 历 士 吉他 手 Django Reinhardt 来 命名 的 。 Django 的 主要 目标 是 使 得 开发 复杂 的 、 数 据 库 驱动 的 网 站 变 得 简单 。Django 注 重组 件 的 重用 性 
和 “可 播 拔 性 ” ， 敏 捷 开 发 和 DRY 法 则 (Don't Repeat Yourself) 。 在 Django 中 Python 被 普遍 使 用 ， 甚 至 包括 配置 文件 和 数据 模型 。Django 于 2008 年 6 月 17 日 正式 成 立 基金 会 。Django 是 Python MVC 
框架 中 开源 组 织 最 完善 、 社 区 人 和 气 最 旺 的 。 


Django 框 架 的 核心 包括 : 


: 一 个 轻 量 级 的 、 独 立 的 Web 服 务 器 ， 用 于 开发 和 测试 。 

:一 个 表单 序列 化 及 验证 系统 ， 用 于 HTML 表 单 和 适 于 数据 库存 储 的 数据 之 间 的 转换 。 
“ 一 个 缓存 框架 ， 并 有 几 种 缓存 方式 可 供 选 择 。 

“中间 件 支持 ， 允 许 对 请 求 处 理 的 各 个 阶段 进行 干涉 。 

“内置 的 分 发 系统 允许 应 用 程序 中 的 组 件 采 用 预定 义 的 信号 进行 相互 间 的 通信 。 


“ 一 个 序列 化 系统 ， 能 够 生成 或 读 取 采用 XML 或 JSON 表 示 的 Django 模 型 实例 。 


“一 个 用 于 扩展 模板 引擎 的 能 力 的 系统 。 
Django 包 含 了 很 多 应 用 在 它 的 “contrib” 包 中 ， 这 些 包括 : 


“ 一 个 可 扩展 的 认证 系统 。 


© 一 组 产生 RSS 和 Atom 的 工具 。 

' 一 个 灵活 的 评论 系统 。 

- 产生 Google 站 点 地 图 (Google Sitemaps) 的 工具 。 

- 防止 跨 站 请 求 伪造 (cross-site request forgery) 的 工具 。 


' 一 套 支持 轻 量 级 标记 语言 (Textile 和 Markdown) 的 模板 库 。 


“ 一 套 协 助 创建 地 理 信息 系统 (GIS) 的 基础 框架 。 


Django 虽 然 相 比 Tornado、Flask、Web.py 等 框架 要 “ 重 ”。 但 是 它 “ 重 ”在 提供 一 站 式 框架 ， 提 供 一 些 方便 快速 开发 的 特性 ， 如 脚手架 ， 完 整 的 面向 对 象 的 ORM ， 还 有 方便 的 模板 系统 。 如 果 创 业 
过 程 中 的 中 小 型 项 目 ， 选 择 Python 技 术 栈 ， 又 对 并 发 支撑 能 力 要求 不 苛刻 的 话 ， 可 以 放心 地 选择 Djiango。 


Django 是 目前 广 受 欢迎 的 Python Web 技 术 选 型 之 一 。 


1. 使 用 Docker Hub 镜 像 


测试 数据 显示 : Django, uWSGI and Nginx 的 技术 组 合 拥有 优异 的 性 能 。 我 们 选用 的 Docker Hub 镜 像 即使 用 此 技术 栈 : 


$ sudo docker pull dockerfiles/django-uwsgi-nginx 


读者 也 可 以 利用 Dockerfile 进 行 定制 ， 自 行 构建 : 


$ sudo docker build -t webapp . 


运行 : 


$ sudo docker run -d webapp 


2. 定 制 镜像 


读者 可 以 自 建 SSHD 镜 像 后 制作 自 定义 的 Django 镜 像 。 当 然 ， 也 可 以 使 用 以 下 Dockerfile 来 定制 镜像 : 


# 本 Dockerfile 由 Thatcher Peskens 贡 献 ， 遵 循 Apache 许 可 

from ubuntu:precise 

maintainer Dockerfiles 

run echo "deb http://archive.ubuntu.com/ubuntu precise main universe" > /etc/apt/sources.list 
run apt-get update 

run apt-get install -y build-essential git 

run apt-get install -y python python-dev python-setuptools 

run apt-get install -y nginx supervisor 

run easy install pip 

# 安装 uwsgi 

run pip install uwsgi 

# 安装 nginx 

run apt-get install -y python-software-properties 

run apt-get update 

RUN add-apt-repository -y ppa:nginx/stable 

run apt-get install -y sqlite3 

+ 添加 项 目 代码 

add . /home/docker/code/ 

+ 修改 配置 

run echo "daemon off" >> /etc/nginx/nginx.conf 

run rm /etc/nginx/sites-enabled/default 

run ln -s /home/docker/code/nginx-app.conf /etc/nginx/sites-enabled/ 
run ln -s /home/docker/code/supervisor-app.conf /etc/supervisor/conf.d/ 
# 运行 Pip install 

run pip install -r /home/docker/code/app/requirements.txt 

# 安装 django 

run django-admin.py startproject website /home/docker/code/app/ 
expose 80 

cmd ["supervisord", "-n"] 


1344 ”相关 资源 
Python 官网 : https://www.python.org/ 
关于 Python 1: http:;//wiki.woodpecker.org.cn/moin/WhyPython 


关于 Python 2: http://www.linuxjournal.com/article/3882 


Python Docker 官 方 Dockerfile: https://github.com/docker-library/python/ 

Python Docker 官 方 镜像 : https;//registry.hub.docker.com/ /python/ 

Python Docker 官 方 镜像 Tag: https://registry.hub.docker.com/ /python/tags/manage/ 
Flask 官 网 : http://flask.pocoo.org/ 

Flask Docker 镜 像 : https://registry.hub.docker.com/u/verdverm/flask/ 

Flask Dockerfile: https://registry.hub.docker.com/u/verdverm/flask/dockerfile/ 
Django 官 网 : https://www.djangoproject.com/ 

Django Dockert&(&: https://registry.hub.docker.com/u/dockerfiles/django-uwsgi-nginx/ 


Django Dockerfile: https://registry.hub.docker.com/u/dockerfiles/django-uwsgi-nginx/dockerfile/ 


13.5 Perl 


13.5.1 ” Perl 技术 栈 


Perl 是 一 个 高 级 的 动态 的 解释 型 脚本 语言 。Perl 的 设计 借鉴 了 C、Shell、awk 和 sed。Perl 最 重要 的 特性 是 它 内 部 集成 了 正则 表达 式 的 功能 ,以 及 巨大 的 第 三 方 代码 库 CPAN。Perl 像 C 一 样 强 大 ， 同 时 像 
awk、sed 等 脚本 语言 一 样 富有 表达 性 ， 被 称 为 “Unix 系 统 王牌 工具 ”。 目 前 Perl 常 见于 系统 管理 、 文 件 处 理 等 程序 ， 笔 者 认为 Perl 多 数 情况 下 属于 Web 方 案 中 的 胶水 语言 。 


下 面 ， 笔 者 讲 主要 介绍 Perl5 的 Docker 环 境 。 


使 用 官方 镜像 


我 们 可 以 使 用 Docker 官 方 的 Perl 镜 像 作 为 基础 ， 在 此 之 上 进行 必要 的 定制 。 


第 一 步 ， 下 载 Docker 官 方 的 Perl 镜 像 : 


$ sudo docker pull perl 


如 果 读 者 对 Per| 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 便于 在 下 一 步 Dockerfile 的 FROM 指令 中 明确 Perl 版 本 号 。 官 方 镜像 都 有 明确 的 标签 列表 ， 具 体 地 址 可 以 参见 后 面 的 “相关 资源 ”部 
5. 


第 二 步 ， 在 读者 的 Perl 项 目 中 新 建 一 个 Dockerfile : 


FROM perl:5.20 

COPY . /usr/src/myapp 

WORKDIR /usr/src/myapp 

CMD [ "perl", "./your-daemon-or-script.pl" ] 


第 三 步 ， 通 过 此 Dockerfile， 构 建 自 定义 的 镜像 : 


$ sudo docker build -t my-perl-app . 


第 四 步 ， 创 建 容器 并 运行 : 


$ sudo docker run -it --rm --name my-running-app my-perl-app 


官方 Perl 镜 像 ， 带 参数 运行 容器 


如 果 读者 只 需要 运行 单个 的 Perl 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 


$ sudo docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp perl:5.20 perl your-daemon-or-script.pl 


如 果 读者 需要 运行 Perl 的 Web 项 目 ， 则 最 好 先 自 建 内 置 SSH 服 务 的 镜像 ， 然 后 以 此 为 基础 定制 Perl 容 器 ， 这 样 可 以 方便 地 通过 SSH 服 务 访问 Perl 容 器 。 


13.5.2 Catalyst 


catalyst 


ere ome. 


Catalyst 是 一 个 用 Perl 语 言 开发 的 MVC 框 架 。 


1. 使 用 Docker Hub 镜 像 


使 用 Docker Hub 镜 像 如 下 所 示 : 


$ sudo docker pull rsrchboy/perl-catalyst-latest 


使 用 Perl 容 器 进行 一 下 操作 : 


$ sudo cpan 
cpan»install Catalyst: :Devel 
$catalyst.pl myApp 


2. 定 制 镜像 


读者 可 以 使 用 以 下 Dockerfile 来 定制 镜像 : 


# 本 dockerfile 由 Chris Wey1l 贡 献 

FROM rsrchboy/perl-stable:latest 

RUN apt-get update &amp; &amp; apt-get install -y libmysqlclient-dev libssl-dev libxml2-dev 
# 运行 cpan 管 理 器 


RUN cpanm -q --notest Capture::Tiny && rm -rf ~/ .cpanm 
RUN cpanm -q --installdeps LWP::UserAgent && rm -rf -/.cpanm 
RUN cpanm -q --notest LWP::UserAgent && rm -rf -/.cpanm 
RUN cpanm -q DBI DBD::mysql && rm -rf -/.cpanm 
RUN cpanm -q DBIx::Class && rm -rf ~/ .cpanm 
RUN cpanm -q DBIx::Class::Schema::Loader && rm -rf ~/.cpanm 
RUN cpanm -q Reindeer && rm -rf «/.cpanm 
RUN cpanm -q Dist::Zilla && rm -rf ~/ .cpanm 
RUN cpanm -q Task::Plack && rm -rf ~/ .cpanm 
RUN cpanm -q Task::Catalyst && rm -rf «/.cpanm 


13.5.8 ”相关 资源 


Perl 官 网 : http://www.perl.org/ 


Perl 中 国 官网 : http://www.perlchina.org/ 


H 


Perl6 官 网 : http://rakudo.org/how-to-get-rakudo/ 


Perl Dockert&&: https://registry.hub.docker.com/ /perl/ 


Perl Docker 镜 像 标 签 : https;//registry.hub.docker.com/ /perl/tags/manage/ 

Catalyst 官 网 : http://www.catalystframework.org/ 

Catalyst Docker 镜 像 : https://registry.hub.docker.com/u/rsrchboy/perl-catalyst-latest/ 

Catalyst Dockerfile: https://registry.hub.docker.com/u/rsrchboy/perl-catalyst-latest/dockerfile/ 


Catalyst 安 装 : http://blog.sina.com.cn/s/blog 4aea5d8901001ja9.html 


13.6 Ruby 


13.6.1. Ruby 技术 栈 


程 。Ruby 还 有 动态 的 数据 类 型 系统 (dynamic type system) 和 自动 的 内 存 管理 。 由 于 Ruby 设 计 精 良 ， 语 法 简约 ， 表 达能 力 强 ， 社 区 火爆 的 特点 ， 所 以 在 创业 型 和 敏捷 型 项 目 中 被 大 量 使 用 ， 并 有 持续 增 
长 的 趋势 。 


我 们 可 以 使 用 Docker 官 方 的 Ruby 镜 像 作为 基础 ， 在 此 之 上 进行 必要 的 定制 : 


第 一 步 ， 下 载 Docker 官 方 的 Ruby 镜 像 : 


$ sudo docker pull ruby 


如 果 读 者 对 Ruby 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 便于 在 下 一 步 的 Dockerfile 的 FROM 指令 中 明确 Ruby 版 本 号 。 官 方 镜像 都 有 明确 的 标签 列表 ， 具 体 地 址 可 以 参见 后 面 的 “相关 资 


源 ”部 分 。 


第 二 步 ， 在 Ruby 项 目 中 创建 一 个 Dockerfile: 


FROM ruby:2.1.2-onbuild 
CMD ["./your-daemon-or-script.rb"] 


将 此 文件 放 在 App 的 根 目录 (与 Gemfile 同 级 ) 。 注 意 ， 我 们 使 用 的 官方 镜像 带 有 onbuild 标 签 ， 也 就 意味 着 它 包 含 了 启动 大 部 分 Ruby 项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ，Docker 会 执行 
COPY./usrsrc/app 以 及 RUN bundle install, 


第 三 步 ， 构 建 自 定义 镜像 : 


$ sudo docker build -t my-ruby-app . 


第 四 步 ， 创 建 并 运行 此 镜像 : 


$ sudo docker run -it --name my-running-script my-ruby-app 


由 于 我 们 在 构建 时 使 用 了 带 有 onbuild 标 签 的 镜像 ， 所 以 在 App 目 录 下 需要 有 Gemtfile.lock 文 件 。 这 时 可 以 在 App 的 根 目录 运行 以 下 命令 : 


$ sudo docker run --rm -v "$(pwd)":/usr/src/app -w /usr/src/app ruby:2.1.2 bundle install --system 


如 果 读者 只 需要 运行 单个 Ruby 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Ruby 镜 像 ， 带 参数 运行 容器 


$ sudo docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp ruby:2.1.2 ruby your-daemon-or-script.rb 


"Ruby 


JRuby 类 似 于 Python 的 Jython， 一 个 可 于 Java 上 运行 Ruby 的 语言 ， 支 持 Java 的 接口 和 类 。 


13.6.2 JRuby 


使 用 官方 镜像 


我 们 可 以 使 用 Docker 官 方 的 Ruby 镜 像 作为 基础 ， 在 此 之 上 进行 必要 的 定制 。 


第 一 步 ， 下 载 Docker 官 方 的 JRuby 镜 像 : 


$ sudo docker pull jruby 


如 果 读者 对 JRuby 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 便于 在 下 一 步 的 Dockerfile 的 FROM 指令 中 明确 JRuby 版 本 号 。 官 方 镜像 都 有 明确 的 标签 列表 ， 具 体 地址 可 以 参见 后 面 的 “相关 资 
源 ”部 分 。 


第 二 步 ， 在 JRuby 项 目 中 创建 一 个 Dockerfile: 


FROM jruby:.1.7.15-onbuild 
CMD ["./your-daemon-or-script.rb"] 


将 此 文件 放 在 App 的 根 目录 (与 Gemfile 同 级 ) 。 注 意 ， 我 们 使 用 的 官方 镜像 带 有 onbuild 标 签 ， 也 就 意味 着 它 包含 了 启动 大 部 分 JRuby 项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ，Docker 会 执行 
COPY./usr/src/app 以 及 RUN bundle install, 


第 三 步 ， 构 建 自 定义 镜像 : 


$ sudo docker build -t my-ruby-app . 


第 四 步 ， 创 建 并 运行 此 镜像 : 


$ sudo docker run -it --name my-running-script my-ruby-app 


由 于 我 们 在 构建 时 使 用 了 带 有 onbuild 标 签 的 镜像 ， 所 以 在 App 目 录 下 需要 有 Gemfile.lock 文 件 。 这 时 可 以 在 App 的 根 目录 运行 以 下 命令 : 


$ sudo docker run --rm -v "$(pwd)":/usr/src/app -w /usr/src/app jruby:1.7.15 bundle install --system 


— 


如 果 读者 只 需要 运行 单个 JRuby 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 建 自 定义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 JRuby 镜 像 ， 带 参数 运行 容器 


$ sudo docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp jruby:1.7.15 jruby your-daemon-or-script.rb 


13.6.3 Ruby on Rails 


Rails 是 使 用 Ruby 语 言 编写 的 网 页 程序 开发 框架 。Rails 的 一 些 设计 理念 和 机 制 比较 创新 和 优雅 ， 比 较 彻 底 地 实现 了 面向 对 象 编程 ， 也 比较 满足 敏捷 开发 的 需要 。 很 多 其 他 语言 的 Web MVC 框 架 都 有 所 借 
鉴 。 

使 用 官方 镜像 

我 们 可 以 使 用 Docker 官 方 的 Rails 镜 像 作 为 基础 ， 在 此 之 上 进行 必要 的 定制 : 


第 一 步 ， 下 载 Docker 官 方 的 Rails 镜 像 : 


$ sudo docker pull rails 


如 果 读 者 对 Rails 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 便于 在 下 一 步 的 Dockerfile 的 FROM 指令 中 明确 Rails 版 本 号 。 官 方 镜像 都 有 明确 的 标签 列表 ， 有 具体 地 址 可 以 参见 后 面 的 “相关 资 
源 ”部 分 。 


第 二 步 ， 在 Rails 项 目 中 创建 一 个 Dockerfile: 


FROM rails:onbuild 


将 此 文件 放 在 App 的 根 目录 (与 Gemfile 同 级 ) 。 注 意 ， 我 们 使 用 的 官方 镜像 带 有 onbuild 标 签 ， 也 就 意味 着 它 包 含 了 启动 大 部 分 JRuby 项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ，Docker 会 执行 
COPY /usr/src/app, RUN bundle install， 以 及 EXPOSE 3000， 并 将 默认 的 运行 指令 设 为 rails server, 


第 三 步 ， 构 建 自 定义 镜像 : 


$ sudo docker build -t my-rails-app . 


第 四 步 ， 创 建 并 运行 此 镜像 : 


$ sudo docker run --name some-rails-app -d my-rails-app 


此 时 读者 可 以 使 用 浏览 器 访问 http://container-ip:3000。 


如 果 你 需要 在 局 域 网 的 另 一 台 机 器 上 访问 此 容器 中 的 App， 可 以 使 用 以 下 命令 : 


$ sudo docker run --name some-rails-app -p 8080:3000 -d my-rails-app 


现在 读者 可 以 使 用 浏览 器 访问 http://localhost:8080 或 者 http://host-ip:8080。 


由 于 我 们 在 构建 时 使 用 了 带 有 onbuild 标 签 的 镜像 ， 所 以 在 App 目 录 下 需要 有 Gemtfile.lock 文 件 。 这 时 可 以 在 App 的 根 目录 运行 以 下 命令 : 


$ sudo docker run --rm -v "$(pwd)":/usr/src/app -w /usr/src/app ruby:2.1.2 bundle install --system 


13.6.4 Sinatra 


Sinatra 是 一 个 优雅 地 包装 了 Web 开 发 的 DSL (领域 特定 语言 ) 。 用 Sinatra 只 需 5 行 代码 即 可 实现 一 个 简单 的 hello world: 


require 'rubygems' 
require 'sinatra' 
get '/' do 

'Hello World' 
end 


如 果 读 者 自 定义 镜像 时 基于 系统 标准 镜像 (如 Ubuntu) ， 则 可 以 参考 以 下 安装 命令 : 


$ gem install sinatra 
$ ruby -rubygems hi.rb 


1. 使 用 Docker Hub 镜 像 


读者 可 以 基于 自 建 的 SSHD 镜 像 ， 定 制 Sinatra 镜 像 。 如 此 一 来 ， 即 可 方便 地 使 用 SSH 服 务 来 访问 此 Sinatra 镜 像 。 当 然 ， 也 可 以 直接 到 Docker Hub 上 搜索 Sinatra 镜 像 ， 直 接 下 载 : 


$ sudo docker pull yoheimuta/docker-sinatra 


2. 定 制 镜像 


如 上 文 所 述 ， 笔 者 推荐 使 用 SSHD 镜 像 为 基础 来 定制 。 当 然 ， 读 者 也 可 以 使 用 以 下 Dockerfile 来 定制 镜像 。 


FROM ubuntu:14.04 

RUN apt-get update 

RUN apt-get -y install ruby ruby-dev build-essential redis-tools 
RUN gem install --no-rdoc --no-ri sinatra json redis 

RUN mkdir -p /opt/webapp 

* 使 用 4567 端 口 

EXPOSE 4567 

# 设置 默认 命令 

CMD ["/opt/webapp/bin/webapp"] 


RubyGems 使 用 提示 : 目前 搭建 RoR 环 境 过 程 中 会 遇 到 一 些 网 络 原因 导致 rubygems.org 存 放 在 Amazon S3» 上 面 的 资源 文件 间歇 性 连接 失败 。 有 时 候 gem install rackskbundle install 命 令 无 法 有 效 执 
行 (可 以 用 gem install rails-V 来 查看 执行 过 程 ) 。 笔 者 推荐 使 用 淘宝 RubyGems 镜 像 或 者 其 他 国内 镜像 站 。 


13.6.5 “相关 资源 
Ruby 官 网 : https://www.ruby-lang.org/ 
Ruby Docker 官 方 源 : https://registry.hub.docker.com/ /ruby/ 
Ruby Docker 官 方 源 标签 : https://registry.hub.docker.com/ /ruby/tags/manage/ 
淘宝 Ruby Gems: https;//ruby.taobao.org/ 


JRuby 官 网 : http://www.jruby.org/ 


JRuby Docker 官 方 镜像 : https://registry.hub.docker.com/ /jruby/ 


JRuby Docker 官 方 镜像 标签 : https://registry.hub.docker.com/ /jruby/tags/manage/ 
Rails 官 网 : http://rubyonrails.org/ 

Rails Docker 官 方 镜像 : https://registry.hub.docker.com/ /rails/ 

Rails Docker 官 方 镜像 标签 : https://registry.hub.docker.com/ /rails/tags/manage/ 


Sinatra 官 网 : http://www.sinatrarb.com/ 


Sinatra Docker 镜 像 1: https://registry.hub.docker.com/u/yoheimuta/docker-sinatra/ 


Sinatra Docker 镜 像 2: https://registry.hub.docker.com/u/gwjjeff/sinatra/ 


13.7 JavaScript 


1377.1 Javascript 技术 栈 


avascript 是 一 种 弱 类 型 的 解释 型 动态 脚本 语言 ， 内 置 支持 类 (面向 对 象 编程 ) 。 它 的 解释 器 (JavaScript 引 擎 ) 是 浏览 器 的 一 部 分 。JavaScript 广 泛 


请 求 。 目 前 被 许多 创业 团队 喜爱 的 SPA (Single-page Application) 方案 ， 就 是 充分 利 


浏览 器 的 各 种 前 台 业务 逻辑 ， 动 态 显示 和 Ajax 


了 JavaScript MVC 框 架 的 优势 ， 将 敏捷 


分 的 业务 逻辑 ， 后 台 服 务 器 只 需要 解析 Restful API 请 求 即 可 完成 一 个 功能 强大 、 体 验 丰 富 的 Web App. 


下 面 ， 笔 者 将 简 述 如 何 使 用 Docker 搭 建 Nodejs 环 境 。 


13.7.2 Nodejs 


发 发 挥 到 极致 。 例 如 通过 双向 绑 定 


JavaScript 也 可 以 通过 其 解释 器 运行 在 服务 器 端 ，Node.js 就 是 服务 端 JlavaScript 的 主流 技术 方案 ， 并 拥有 优秀 的 性 能 和 大 量 实践 案例 。 


类 的 特性 ， 可 以 让 在 客户 端 完成 大 部 


在 Nodejs 环 境 中 ，JavaScript 代 码 通过 V8 引擎 运行 于 网 络 服务 器 。 由 于 它 优秀 的 高 并 发 处 理 能 力 ，Node 服 务 端 在 高 并 发 技术 方案 的 技术 选 型 中 与 PHP、Python、Perl、Ruby 平 起 平 坐 。 


1. 使 用 官方 镜像 


第 一 步 ， 安 装 Node.js 的 Docker Hub 官 方 镜像 : 


$ sudo docker pull node 


第 二 步 ， 读 者 可 以 使 用 上 面 安装 的 基础 镜像 ， 构 建 自 定义 镜像 。 下 面 ， 在 Nodejs 项 目 中 新 建 一 个 Dockerfile : 


FROM node:0.10-onbuild 
* 使 用 8888 端 口 蔡 换 原 应 用 端口 
EXPOSE 8888 


读者 可 以 通过 修改 Expose 命 令 后 面 的 数字 来 修改 默认 端口 。 


第 三 步 ， 使 用 此 Dockerfile 构 建 镜像 : 


$ sudo docker build -t my-nodejs-app . 


第 四 步 ， 创 建 并 运行 Nodejjs 容 器 : 


$ sudo docker run -it --rm --name my-running-app my-nodejs-app 


注意 ， 本 镜像 预 设 使 用 读者 的 项 目 中 文件 名 为 packagejson[ 注 释 ] 的 文件 ， 此 文件 包含 项 目 依赖 信息 以 及 启动 脚本 [注释 ]。 


如 果 读者 需要 一 个 运行 单个 Nodejs 脚 本 的 Node 容 器 ， 则 无 需 通过 书写 Dockerfile 构 建 镜像 的 方式 。 读 者 可 以 使 用 以 下 指令 : 


$ sudo docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp node:0.10 node your-daemon-or-script.js 


2. 定 制 镜像 


如 果 读 者 需要 定制 Node 镜 像 ， 推 荐 读者 基于 一 个 带 有 SSH 服 务 的 Docker 镜 像 进行 改造 ， 这 样 可 以 方便 使 用 SSH 服 务 连 接 Node 容 器 。 当 然 ， 也 可 以 参考 以 下 Dockerfile 来 定制 镜像 : 


* 

# Node.js Dockerfile 

+ 

# https://github.com/dockerfile/nodejs 


# 下 载 基础 镜像 
FROM dockerfile/python 
# 安装 Node .js 环境 
RUN V 
cd /tmp && \ 
wget http://nodejs.org/dist/node-latest.tar.gz && \ 
tar xvzf node-latest.tar.gz && \ 
rm -f node-latest.tar.gz && \ 
cd node-v* && N 
./configure && \ 
CXX="g++ -Wno-unused-local-typedefs" make && \ 
CXX="g++ -Wno-unused-local-typedefs" make install && \ 
cd /tmp && N 
rm -rf /tmp/node-v* && N 
echo '\n# Node.js\nexport PATH-"node modules/.bin:$PATH"' >> /root/.bashrc 
# 定义 工作 目录 
WORKDIR /data 
# 定义 默认 命令 
CMD ["bash"] 


13.7.3 Express 


oOxpress 


Express 作 为 Nodejs 的 开发 框架 是 目前 最 稳定 、 使 用 最 广泛 且 官 方 推荐 的 Web 开 发 框架 。Express 简 洁 、 灵 活 ， 它 提供 一 系列 强大 的 特性 ， 帮 助 开发 者 创建 各 种 Web 和 移动 设备 应 用 。Express 不 对 
Nodejs 已 有 的 特性 进行 二 次 抽象 ， 而 只 是 在 其 之 上 扩展 了 Web 应 用 所 需 的 功能 。 它 拥有 丰富 的 HTTP 工 具 以 及 来 自 Connect 框 架 的 中 间 件 。 读 者 可 以 使 用 Express 快 速 又 简单 地 创建 强健 和 友好 的 API 服 务 。 


1. 使 用 官方 镜像 


第 一 步 ， 安 装 Nodejs 的 官方 镜像 ， 作 为 基础 镜像 : 


$ sudo docker pull node 


第 二 步 ， 安 装 Express 在 Docker Hub 上 的 镜像 : 


$ sudo docker pull otium360/express 


第 三 步 ， 此 镜像 预 设 情况 是 : 1) 读者 的 Express 项 目 有 名 为 serverjs 的 启动 脚本 。2) 读者 的 Express 项 目 监 听 8080 端 口 。 


此 镜像 将 会 给 Express 项 目 添加 /expresspackagejson 文 件 (内 含 NPM 的 依赖 关系 ， 如 下 所 示 ) ， 然 后 将 这 些 依赖 包 本 地 安装 至 /express 文 件 夹 : 
1) connect 

2) express 

3) serve-static 


此 镜像 的 默认 启动 指令 是 : 


CMD ['npm', 'start'] 


当然 ， 读 者 也 可 以 通过 自 定义 Dockerfile 的 方式 ， 进 一 步 拓展 镜像 功能 : 


1) 由 于 此 镜像 会 使 用 /express 文 件 夹 作为 Node/Express 应 用 的 根 目录 ， 所 以 需要 拷贝 serverjs 文 件 以 及 所 有 的 应 用 代码 至 此 目录 下 。 


2) 在 应 用 的 根 目录 新 建 一 个 Dockerfile 文 件 : 


# 下 载 基础 镜像 
FROM otium360/express 
# 添加 Node 命 令 


ADD server.js /express/server.js 


ADD www /express/www 
serverjs 文 件 内 容 如 下 : 


'use strict'; 

var connect = require ('connect'); 

var serveStatic = require('serve-static'); 

var app = connect () 7 

app.use(serveStatic('www', ('index': ['index.html']))); 
app.listen (8080); 

console.log('MyApp is ready at http://localhost:8080'); 


3) 使 用 自 定义 Dockerfile 构 建 镜 像 : 


$ sudo docker build -t my-app-express /path/to/your/Dockerfile 


4) 创建 并 运行 此 镜像 : 


$ sudo docker run -d -p 8080:8080 --name my-app-express my-app-express 


2. 定 制 镜像 


除了 以 上 方法 ， 读 者 也 可 以 在 Docker Hub 自 行 搜索 含 node 关 键 字 的 镜像 ， 然 后 改造 其 Dockerfile， 也 可 以 运行 Node 容 器 。 笔 者 给 出 以 下 Dockerfile， 供 读者 参考 : 


# 下 载 基础 镜像 

FROM dockerfile/nodejs 

# 安装 NPM 管 理 器 

ADD package.json /express/package.json 
WORKDIR /express 

RUN npm install 

* 使 用 8080 端 口 


13.74 AngularJS 


} 
F 


NGULARJS 


by Googie 


AngularJS 是 一 个 JavaScript MVCIEZR, AngularJS(&/^, 只 有 60K， 兼 容 主流 浏览 器 ,与 jQuery 配合 良好 。AngulanjS 项 目 由 Google 维 护 ， 它 是 一 款 优 秀 的 前 端 javaScript 框 架 ， 已 经 用 于 Google 的 
多 款 产 品 当 中 。 


笔者 在 此 简 述 一 下 AngularJS 的 特性 : 


:数据 绑 定 : 这 可 能 是 AngnladlS 最 酷 最 实用 的 特性 。 它 能 够 帮助 你 避免 书写 大 量 的 初始 代码 从 而 节约 开发 时 间 。 一 个 典型 的 web 应 用 可 能 包含 了 80% 的 代码 用 来 处 理 ， 查 询 和 监听 DOM。 数据 绑 定 使 得 
代码 更 少 ， 你 可 以 专注 于 你 的 应 用 。 


“模板: 在 AngularJS 中 ， 一 个 模板 就 是 一 个 HTML 文 件 。 但 是 HTML 的 内 容 扩展 了 ， 包 含 了 很 多 帮助 你 映射 model 到 view 的 内 容 。 


MVC: 针对 客户 端 应 用 开发 AngularJS 吸 收 了 传统 的 MVC 基 本 原则 。MVC 或 者 Model-View-Conttoll 设 计 模式 针对 不 同 的 人 可 能 意味 不 同 的 东西 。AngularjJS 并 不 执行 传统 意义 上 的 MVC， 更 接近 于 
MVVM (Model-View-ViewModel) 。 


- 依赖 注入 (Dependency Injection， 即 DD) : AngulatJS 拥 有 内 建 的 依赖 注入 子 系统 ， 可 以 帮助 开发 人 员 更 容易 的 开发 ， 理 解 和 测试 应 用 。 


“ Directives (指令 ) : 指令 是 我 个 人 最 喜欢 的 特性 。 你 是 不 是 也 希望 浏览 器 可 以 做 点 儿 有 意思 的 事情 ? 那么 AngulatJS 可 以 做 到 。 指 令 可 以 用 来 创建 自 定义 的 标签 。 它 们 可 以 用 来 装饰 元 素 或 者 操作 DOM 
属性 。 


使 用 Docker Hub 镜 像 


第 一 步 ， 新 建 Angular 项 目 文件 夹 ， 并 通过 CLI 进 入 此 目录 : 


mkdir -p -/Projects/Personal/nameOfProject 
cd -/Projects/Personal/nameOfProject 


第 二 步 ， 直 接 拷贝 或 者 通过 Git 克 隆 一 份 项 目 代码 : 


$ git clone https://github.com/username/nameOfProject.git 


第 三 步 ， 安 装 Docker Hub 上 的 Angular 镜 像 : 


$ sudo docker pull sesteva/grunt-angular 


第 四 步 ， 创 建 并 运行 Angular 容 器 : 


$ sudo docker run --name nameOfProject -p 9000:9000 -v -/Projects/Personal/nameOfProject:/home/project -i -t sesteva/grunt-angular 


当然 ,读者 也 可 以 通过 修改 Dockerfile 来 拓展 和 自 定义 镜像 。 笔 者 在 此 提供 以 下 Dockerfile， 供 读者 参考 : 


# 下 载 Yeoman 基 础 镜像 
FROM sesteva/yeoman 
# 使 用 NPM 安 装 Angular 和 CoffeeScript 
RUN npm install -g generator-angular coffee-script 
* 创建 目录 
RUN mkdir -p /home/project 
CMD cd /home/project && \ 
npm install && \ 
bower install --allow-root && \ 
grunt serve 
# 设 定 工作 目录 
WORKDIR /home/project 
* 使 用 9000 端 口 
EXPOSE 9000 


13.7.5 “相关 资源 


JavaScript]: http://www.w3schools.com/js/ 

Node.js 官 网 : http;//www.nodejs.org/ 

Node.js Docker Hub 官 方 镜像 : https://registry.hub.docker.com/ /node/ 

Node.js Docker Hub 官 方 镜像 标签 : https://registry.hub.docker.com/ /node/tags/manage/ 
Express 官 网 : http://expressjs.com/ 

Express Docker Hub 镜 像 : https://registry.hub.docker.com/u/otium360/express/ 


Express Dockerfile: https://registry.hub.docker.com/u/otium360organization/express/dockerfile/ 


package.json: https;//www.npmjs.org/doc/files/package.json.html 

启动 脚本 : https:;//www.npmjs.org/doc/misc/npm-scripts.htmldefault-values 
Angular 官 网 : http://angularjs.org/ 

Angular Docker 镜 像 : https://registry.hub.docker.com/u/sesteva/grunt-angular/ 


Angular Dockerfile: https://registry.hub.docker.com/u/sesteva/grunt-angular/dockerfile/ 


13.8 Go 


13.8.1 ”Go 技术 栈 


“| zm 


加 Ts 


Go 语言 (也 称 Golang) 是 一 个 由 Google 主 导 研 发 的 编程 语言 。 它 的 语法 清晰 明了 ， 设 计 精 良 ， 拥 有 一 些 先进 的 特性 ， 还 有 一 个 庞大 的 标准 库 。Go 的 基本 设计 理念 是 : 编译 效率 、 运 行 效 率 和 开发 效率 


三 者 兼顾 。 使 用 Go 开发 ， 要 让 开发 人 员 感觉 到 Python 的 便利 ，C/C++ 的 运行 效率 ， 以 及 小 到 可 以 被 忽略 的 编译 时 间 。 笔 者 在 此 简 述 一 下 Go 语言 的 特性 : 


“ 编译 ， 静 态 类 型 语言 。 由 此 可 以 提供 满足 对 运行 效率 敏感 的 系统 级 应 用 。 


“ 垃圾 回收 ， 去 除 复杂 的 内 存 释放 工作 。 


“ 简洁 的 符号 和 语法 ， 极 力 减 少 开发 人 员 输 入 的 字符 数 。 
“ 平坦 的 类 型 系统 ， 去 除了 复杂 的 继承 关系 。 使 用 结构 化 类 型 系统 (Structural type system). ， 既 简化 了 事前 设计 工作 ， 也 为 未 来 增加 抽象 层 提供 了 非 侵入 式 的 解决 方法 。 


- 基于 CSP 模 型 的 并 行 ， 简 化 了 并 发 结构 之 间 的 通信 和 数据 共享 。 为 多 核 时 代 的 程序 开发 打 好 基础 。 比 线程 更 轻 量 的 goroutine， 让 一 个 线程 可 以 执行 多 个 并 发 结构 。 不 必 使 用 异步 通信 ， 就 足以 达到 线程 
池 与 select/poll/epoll 的 效果 。 极 大 简化 了 多 连接 的 开发 。 


: 使 用 一 套 简单 的 规范 ， 开 发 人 员 不 必 再 单独 编写 脚本 指定 依赖 关系 和 编译 流程 。 仅 仅 使 用 代码 本 身 和 go 工具 链 ， 就 可 以 处 理 各 种 依赖 关系 。 写 完 代码 ， 一 条 命令 ， 自 动 下 来 各 种 依赖 ， 直 接 编 译 / 安 


装 。 无 需 make、autoconf、automake、setup.py 等 工具 支持 。 


使 用 官方 镜像 


将 Go 代码 运行 在 Docker 容 器 中 的 最 简 方法 ， 就 是 将 Go 编译 指令 写 入 Dockerfile 中 ， 然 后 使 用 此 Dockerfile 构 建 自 定义 镜像 ， 最 后 直接 运行 此 镜像 ， 即 可 启动 Go 程序 。 


具体 步骤 如 下 。 


第 一 步 ， 首 先 安装 Go 的 Docker Hub 官 方 镜像 作为 基础 镜像 : 


$ sudo docker pull golang 


如 果 读者 对 Go 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 便于 在 下 一 步 的 Dockerfile 的 FROM 指令 中 明确 Go 版 本 号 。 官 方 镜像 都 有 明确 的 标签 列表 ， 具 体 地 址 可 以 参见 后 面 的 “相关 资源 ”部 
5. 


第 二 步 ， 在 Dockerfile 中 ， 加 入 读者 需要 执行 的 Go 编译 命令 : 


FROM golang:1.3.1-onbuild 


注意 ， 我 们 使 用 的 官方 镜像 带 有 onbuild 标 签 ， 也 就 意味 着 它 包 含 了 启动 大 部 分 Go 项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ，Docker 会 执行 COPY./usr/src/app，RUN go get-d-v， 以 及 go install- 


在 使 用 此 镜像 ， 不 带 参数 运行 Go 容器 时 ， 此 会 执行 CMD["app"] 指 令 。 


第 三 步 ， 使 用 此 Dockerfile 构 建 镜像 : 


$ sudo docker build -t my-golang-app . 


第 四 步 ， 创 建 并 运行 Go 容器 : 


$ sudo docker run -it --rm --name my-running-app my-golang-app 


在 Docker 容 器 中 编译 Go 项 目 如 果 读 者 需要 在 容器 中 编译 Go 代码 ， 但 是 不 需要 在 容器 中 运行 它 ， 可 以 执行 : 


$ sudo docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp golang:1.3.1 go build -v 


此 指令 会 将 读者 的 Go 项 目 文件 夹 作 为 Docker 数 据 卷 挂 载 至 Docekr， 并 作为 运行 目录 。 然 后 Docker 会 执行 go build， 在 工作 目录 中 编译 代码 ， 输 出 可 执行 文件 至 myapp。 


如 果 此 项 目 有 Makefile， 那 么 可 以 在 容器 中 执行 : 


$ sudo docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp golang:1.3.1 make 


在 Docker 容 器 中 交叉 编译 Go 项 目 如 果 读者 需要 在 常用 的 linux\amd64 架 构 之 外 的 其 他 架构 的 平台 编译 Go 应 用 ， 如 windows/386。 可 以 在 指令 中 加 入 cross 标 签 : 


$ sudo docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp -e GOOS-windows -e GOARCH=386 golang:1.3.1-cross go build -v 


读者 也 可 以 使 用 以 下 命令 将 Go 程序 一 次 性 编译 至 多 个 平台 : 


$ sudo docker run --rm -it -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp golang:1.3.1-cross bash 
$ for GOOS in darwin linux; do 
> for GOARCH in 386 amd64; do 


go build -v -o myapp-$GOOS-$GOARCH 
E 
如 果 读 者 需要 方便 地 运行 已 有 Go 项 目的 代码 ， 特 别 是 Web 项 目 ， 那 么 笔者 推荐 读者 使 用 一 个 内 含 SSH 服 务 的 镜像 ， 以 此 为 基础 定制 Go 镜像 。 这 样 可 以 方便 地 使 用 SSH 服 务 访问 Go 容器 中 的 站 点 。 


13.8.2 Beego 


BEEG 


Beego 是 一 个 使 用 Go 的 思维 来 帮助 开发 者 构建 并 开发 Go 应 用 程序 的 开源 框架 。Beego 使 用 Go 开发 ， 思 路 来 自 于 Tornado， 路 由 设计 来 源 于 Sinatra。 


笔者 在 此 简 述 一 下 Beego 框 架 的 特性 : 

“ 简单 化 : RESTful 支 持 、MVC 模 型 ， 可 以 使 用 bee 工 具 快 速 地 开发 应 用 ， 包 括 监 控 代 码 修改 进行 热 编译 、 自 动 化 测试 代码 以 及 自动 化 打包 部 署 。 

“ 智能 化 : 支持 智能 路 由 、 智 能 监控 ， 可 以 监控 QPS、 内 存 消耗 、CPU 使 用 ， 以 及 goroutine 的 运行 状况 ， 让 线 上 应 用 尽 在 掌握 。 

“ 模块 化 : Beego 内 置 了 强大 的 模块 ， 包 括 Session、 缓 存 操作 、 上 日 志 记录 、 配 置 解析 、 性 能 监控 、 上 下 文 操 作 、ORM 模 块 、 请 求 模拟 等 强大 的 模块 ， 足 以 支撑 你 任何 的 应 用 。 
“ 高 性 能 : Beego 采 用 了 Go 原生 的 http 包 来 处 理 请 求 ，goroutine 的 并 发 效率 足以 应 付 大 流量 的 Web 应 用 和 API 应 用 ， 目 前 已 经 应 用 于 大 量 高 并 发 的 产品 中 。 

1. 准 备 工 作 


第 一 步 ， 下 载 安 装 : 


$ go get github.com/astaxie/beego 


第 二 步 ， 创 建文 件 hello.go: 


Package main 
import "github.com/astaxie/beego" 
func main() ( 
beego.Run () 
} 


第 三 步 ， 编 译 运 行 : 


$ go build -o hello hello.go 
$ ./hello 


第 四 步 ， 打 开 浏 览 器 并 访问 http://localhost:8080。 恭 喜 ! 第 一 个 Beego 项 目 已 经 成 功 的 构建 了 。 
读者 可 以 查阅 开发 文档 以 进行 深入 学 习 。 


2. 使 用 Docker Hubs 


读者 可 以 使 用 Docker Hub 提 供 的 第 三 方 Beego 镜 像 ， 下 载 后 直接 运行 即 可 : 


$ sudo docker pull cloudcube/beego 


3. 定 制 镜像 


如 果 需 要 定制 Beego 镜 像 ， 则 如 前 文 所 述 ， 建 议 读者 基于 内 含 SSH 的 镜像 进行 定制 。 当 然 ， 读 者 也 可 以 参考 以 下 Dockerfile 构 建 自 定义 镜像 : 


FROM cloudcube/golang 

# system update 

RUN apt-get update 

# install beego 

RUN go get github.com/astaxie/beego 
# install bee 

RUN go get github.com/cloudcube/bee 


13.8.3 Revel 


Reve| 是 一 个 高 生产 力 的 Go 语言 Web 框 架 。Revel 从 Rails 和 Play! 中 吸收 了 许多 成 熟 的 设计 思想 。Revel 支 持 MVC 设 计 模式 ， 它 是 一 个 轻 量 级 的 高 效 Web 开 发 框架 。Revel+Xorm (ORM) 的 技术 栈 可 
以 方便 的 构建 各 种 基于 Go 语言 的 Web 服 务 。 


笔者 在 此 简 述 一 下 Revel 框 架 的 特性 : 
“ 热 编译 : 编辑 、 保 存 和 刷新 时 ，Revel 自 动 编译 代码 和 模板 ， 如 果 代码 编译 错误 ， 会 给 出 一 个 错误 提示 ， 同 时 捕捉 运行 期 错误 。 
“ 全 栈 功能 : Revel 支 持 路 由 、 参 数 解析 、 验 证、session/flash、 模 板 、 缓 存 、 计 划 任 务 、 测 试 、 国 际 化 等 功能 。 


“ 高 性 能 : Revel 基 于 Go HTTP server 构 建 。 这 是 techempower 发 布 的 最 新 评测 结果 。 在 各 种 不 同 的 场景 下 进行 了 多 达 三 到 十 次 的 请 求 负载 测试 。 
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第 一 步 ， 安 装 Revel 框 架 : 


$ go get github.com/revel/revel 


第 二 步 ， 安 装 Revel 命 令 行 工具 : 


$ go get github.com/revel/cmd/revel 


第 三 步 ， 创 建 Revel 应 用 : 


$ revel new myapp 


生成 的 目录 结构 如 下 : 
myapp 项 目 根 目 录 
app MVC 框 架 目 录 
controllers ”控制 器 目录 
init .go 
models 模型 目录 
routes 
tmp 
views 视图 目录 
Conf 
m app.conf 配置 文件 
routes 路 由 文件 
messages 乐 化 目录 
Public 静态 文件 目录 
tests 


第 四 步 ， 打 开 浏 览 器 访问 http://localhost:9000， 如 图 13-3 所 示 。 


€ > Q f [D localhost:9000 


图 13-3 Revel 界面 
2. 使 用 Docker Hub 镜 像 


读者 可 以 使 用 Docker Hub 中 提供 的 第 三 方 Revel 镜 像 ， 下 载 并 直接 运行 。 笔 者 列 出 以 下 镜像 供 读者 参考 : 


$ sudo docker pull taddev/revel-base 


如 果 读 者 需要 运行 已 有 的 Revel 站 点 ， 或 者 需要 自 定义 启动 流程 ， 则 笔者 推荐 使 用 内 含 SSH 服 务 的 镜像 ， 以 此 为 基础 定制 Revel 镜 像 。 当 然 ， 读 者 也 可 以 参考 以 下 Dockerfile 构 建 自 定义 镜像 : 


# 安 装 基础 镜像 
FROM google/golang 


# 获取 Revel 
RUN go get github.com/revel/cmd/revel 


13.84 Martini 


Go 语言 编写 模块 化 Web 应 用 而 生 的 。 


Martini 是 一 个 优雅 的 Go 语言 Web 框 架 (Classy web framework for Go) ， 它 是 专门 为 使 


笔者 在 此 简 述 以 下 Martini 框 架 的 特性 : 
“ 使 用 极其 简单 。 
“ 无 侵入 式 的 设计 。 
“ 很 好 地 与 其 他 的 Go 语言 包 协同 使 用 。 


“ 超 先 的 路 径 匹 配 和 路 由 。 
容易 插入 功能 件 ， 也 容易 将 其 拔 出 来 。 


C 模块 化 的 设计 
“ 已 有 很 多 的 中 间 件 可 以 直接 使 用 。 
“ 框架 内 已 拥有 很 好 的 开 箱 即 用 的 功能 支持 。 


- 完全 兼容 http.HandlerFunc 接 口 。 


“更 多 中 间 件 和 功能 组 件 ， 可 参考 代码 仓库 : httpi//github.com/martini-contribs 
1. 准 备 工作 


在 读者 安装 了 GO 语言 并 设置 了 自己 的 GOPATH 之 后 ， 创 建 自己 的 .go 文件 ， 这 里 我 们 假设 它 的 名 字 叫 做 server.go : 


Package main 
import "github.com/go-martini/martini" 
func main() { 

m := martini.Classic() 

m.Get("/", func() string ( 

return "Hello world!" 
1) 
m.Run() 


} 


然后 ， 安 装 Martini 的 包 (注意 Martini 需 要 Go 语言 1.1 或 者 以 上 的 版 本 支持 ) : 


$ go get github.com/go-martini/martini 


最 后 ， 运 行 server.go: 


$ go run server.go 


此 时 已 经 启动 了 一 个 Martini 的 Web 服 务 ， 地 址 是 : localhost:3000, 


2. 使 用 Docker Hub 镜 像 


读者 可 以 直接 使 用 Docker Hub 中 提供 的 第 三 方 Martini 镜 像 ， 下 载 镜像 并 直接 运行 。 笔 者 给 出 以 下 命令 供 读者 参考 : 


$ sudo docker pull lgsd/docker-martini 


3. 定 制 镜像 


如 果 读者 需要 加 载 已 有 的 Martini 站 点 ， 或 者 需要 定制 启动 流程 ， 则 笔者 推荐 使 用 内 含 SSH 服 务 的 镜像 ， 以 此 为 基础 进行 定制 ， 这 样 可 以 方便 地 使 用 SSH 服 务 访 问 Martini 容 器 中 的 站 点 。 当 然 ， 读 者 也 可 
以 参考 以 下 Dockerfile 构 建 自 定义 镜像 : 


# Dockerfile for Martini/GOLANG 1.2 

* 下 载 基础 镜像 

FROM lgsd/saucy 

# 更 新 系统 

RUN sed 's/main$/main universe/' -i /etc/apt/sources.list && \ 
apt-get -qq update && V 
apt-get -y upgrade && V 
apt-get install -y wget tar ca-certificates git 

# 下 载 Go 语 言 源码 安装 包 

# into /usr/local, creating a Go tree in /usr/local/go 

RUN wget https://go.googlecode.com/files/gol.2.1inux-amd64.tar.gz && V 
tar -C /usr/local -xzf gol.2.linux-amd64.tar.gz && \ 
rm gol.2.linux-amd64.tar.gz 

# 安装 完成 后 使 用 apt 进 行 清理 

RUN apt-get clean && rm -rf /var/lib/apt/lists/* /tmp/* /var/tmp/* 

# 设置 环境 变量 

ENV GOPATH /go 

ENV PATH S$PATH:/usr/local/go/bin:$GOPATH/bin 

# 安装 Martini 安 装 包 

RUN go get github.com/codegangsta/martini 

# 根据 官方 启动 流程 ， 创 建 server.go 文 件 ， 并 验证 安装 结果 

ENV FILE $HOME/server.go 

RUN echo 'package main' > $FILE && VN 
echo 'import "github.com/codegangsta/martini"' >> SFILE && \ 
echo 'func main() (' >> $FILE && \ 


echo ' m := martini.Classic()' >> $FILE && \ 
echo ' m.Get("/", func() string (' >> $FILE && N 
echo ' return "Hello world!"' >> SFILE && \ 
echo ' ])' >> $FILE && \ 

' 


echo m.Run()' »» $FILE && V 
echo ')' >> $FILE 
* 使 用 3000 端 口 运行 Martini 
localhost:3000 
EXPOSE 3000 
# 设置 默认 启动 命令 


CMD ["go", "run", "server.go"] 


13.8.5 “相关 资源 


Go 语言 官网 : https://golang.org/ 

Go Docker 官 方 镜像 : https://registry.hub.docker.com/ /golang/ 

Go Docker 官 方 镜像 标签 : https://registry.hub.docker.com/ /golang/tags/manage/ 
Docker Hub 中 Google 提 供 的 Go 镜像 : 
https://registry.hub.docker.com/u/google/golang-hello/ 
https:;//registry.hub.docker.com/u/google/golang-runtime/ 
https:;//registry.hub.docker.com/u/google/golang/ 

Beego 官 网 : http://beego.me/ 

Beego Docker Hub 镜 像 : https://registry.hub.docker.com/u/cloudcube/beego/ 
Boogo Dockerfile: https://registry.hub.docker.com/u/cloudcube/beego/dockerfile/ 


Revel 官 网 : http://www.gorevel.cn/ 


Revel 中 国 官 网 : http://gorevel.cn/ 


Revel Docker Hub 镜 像 : https://registry.hub.docker.com/u/taddev/revel-base/ 
Revel Dockerfile: https://registry.hub.docker.com/u/taddev/revel-base/dockerfile/ 


Martini 官 网 : http://martini.codegangsta.io/ 


Martini Docker Hub 镜 像 : https://registry.hub.docker.com/u/lgsd/docker-martini/ 


Martini Dockerfile: ht 


13.9 本章 小 结 


tps://registry.hub.docker.com/u/lgsd/docker-martini/dockerfile/ 


在 本 章 中 ， 笔 者 主要 介绍 了 如 何 使 用 Docker 搭 建 主 流 编程 语言 及 其 常用 开发 框架 的 Docker 环 境 。 由 于 时 间 仓 促 且 水 平 有 限 ， 所 以 笔者 
Docker 环 境 与 PHP 环 境 下 的 操作 流程 大 同 小 异 : 均 是 基于 内 含 SSH 服 务 的 镜像 ， 定 制 Dockerfile， 随 后 构建 并 运行 镜像 即 可 。 这 样 读者 可 以 方便 地 使 F 


点 阐述 了 PHP 语 言 的 Docker 环 境 。 其 他 编程 语言 的 自 定义 


SSH 服 务 访问 自 定义 容器 中 的 站 点 或 程序 。 当 然 ， 读 


者 也 可 以 直接 使 用 官网 的 编程 语言 镜像 ， 通 过 适当 的 配置 也 可 以 构建 自 定义 镜像 并 正常 使 用 容器 。 如 果 读者 对 本 章 内 容 有 任何 疑问 ， 可 以 前 往 DockerPool 社 区 (http://dockerpool.com) 。 由 于 编程 语言 
的 更 新 迭代 比较 频繁 ， 所 以 本 章 内 容 会 在 DockerPool 社 区 持续 更 新 ， 敬 请 关注 。 


第 14 章 “使 用 私有 仓库 


在 使 用 Docker 一 段 时 间 后 ， 往 往 会 发 现 手头 积累 了 大 量 的 自 定义 镜像 文件 ， 这 些 文件 通过 公有 仓库 进行 管理 并 不 十 分 方便 ; 另外 有 时 候 只 是 希望 内 部 用 户 之 间 进 行 分 享 。 


在 这 种 情况 下 ， 就 有 必要 搭建 一 个 本 地 的 私有 仓库 服务 器 。 在 第 一 部 分 中 ， 笔 者 讲解 了 快速 使 


并 通过 具体 案例 来 展示 如 何 搭建 一 个 本 地 的 仓库 服务 器 。 


docker-registry 镜 像 搭 建 一 个 私有 仓库 的 方法 。 本 章 将 具体 介绍 docker-registry 开 源 项 


在 搭建 完成 本 地 的 私有 仓库 服务 器 后 ， 接 下 来 会 介绍 如 何 编写 脚本 来 批量 上 传 本 地 镜像 到 私有 仓库 中 。 最 后 会 对 docker-registry 项 目的 配置 文件 以 及 各 种 选项 进行 剖析 。 


14.1 使 用 docker-r 


docker-registry 是 一 个 基于 Python 的 开源 项 目 ， 可 以 用 于 构建 私有 的 镜像 注册 服务 器 。 官 方 仓库 中 也 提供 了 docker-registry 的 镜像 ， 因 


registry。 


基于 容器 运行 


在 第 一 部 分 中 ， 笔 者 简 和 


egistry 


介绍 了 基于 容器 运行 docker-registry 的 过 程 。 首 先 ， 获 取 并 运行 官方 registry 镜 像 : 


的 使 


此 用 户 可 以 通过 容器 运行 和 源码 安装 两 种 方式 来 使 用 docker- 


$ sudo docker run -d -p 5000:5000 registry 


启动 后 比较 关键 的 参数 是 指定 配置 文件 和 仓库 存储 路 径 。 


通过 如 下 命令 ， 可 以 指定 本 地 路 径 (如 /home/user/registry-conf) 下 的 配置 文件 : 


$ sudo docker run -d -p 5000:5000 -v /home/user/registry-conf:/registry-conf -e DOCKER REGISTRY CONFIG-/registry-conf/config.yml registry 


通过 -v 参 数 来 配置 仓库 路 径 。 例 如 下 面 的 例子 将 镜像 存储 到 本 地 /opt/data/registry 目 录 : 


$ sudo docker run -d -p 5000:5000 -v /opt/data/registry:/tmp/registry registry 


本 地 安装 运行 


有 时 候 需 要 本 地 运行 仓库 服务 ， 可 以 通过 安装 包 或 源码 方式 进行 。 


对 于 Ubuntu 或 CentOS 行 发 行 版 ， 可 以 直接 通过 源 安装 。 


* Ubuntu 版 的 安装 : 


E 


liblzma-dev 


Xin 


sudo apt-get install -y build-essential python-dev libevent-dev python-pip 


sudo pip install gunicorn pyyaml flask flask-cors rsa 
sudo pip install docker-registry 


* CentOS JR JRR: 


sudo yum install -y 


DD 


python-devel libevent-devel python-pip gcc xz-devel 


sudo pip install gunicorn pyyaml flask flask-cors rsa gevent 
sudo python-pip install docker-registry 


也 可 以 从 docker-registry (https;//github.com/docker/docker-registry) 项 目下 载 源 码 进行 安装 : 


$ sudo apt-get install build-essential python-dev libevent-dev python-pip 
libssl-dev liblzma-dev libffi-dev 


$ git clone https://github.com/docker/docker-registry.git 
$ cd docker-registry 


然后 基于 样 例 配置 创建 配置 文件 : 


$ cp config/config sample.yml config/config.yml 


修改 local 模 板 段 的 storage_path 到 本 地 的 存储 仓库 的 路 径 ， 例 如 : opt/data/registry, 


local: &local 
««: *common 
storage: local 
storage path:  env:STORAGE PATH:/opt/data/registry 


然后 执行 安装 操作 : 


$ sudo python setup.py install 


对 于 通过 软件 包 方式 安装 的 ， 配 置 文件 一 般 需 要 放 在 /usVlocaVlib/python2.7/dist-packages/docker registry/config/config.yml. 


此 时 ， 可 以 通过 下 面 的 命令 来 启动 : 


$ sudo gunicorn --access-logfile /var/log/docker-registry/access.log --error-logfile /var/log/docker-registry/server.log -k gevent --max-requests 100 --graceful-timeout 3600 -t 


此 时 使 用 访问 本 地 的 5000 端 口 ， 看 到 输出 docker-registry 的 版 本 信息 说 明 运 行 成 功 : 


$ sudo curl 127.0.0.1:5000 
"docker-registry server (dev) (v0.8.1)" 


配置 服务 脚本 


一 般 通 过 服务 脚本 来 管理 registry 服 务 会 更 加 方便 ， 以 Ubuntu 14.04 系 统 为 例 。 


首先 ,创建 /etc/init/docker-registry.conf 文 件 ， 内 容 为 : 


description "Docker Registry" 

start on runlevel [2345] 

stop on runlevel [016] 

respawn 

respawn limit 10 5 

script 

exec gunicorn --access-logfile /var/log/docker-registry/access.log --error-logfile /var/log/docker-registry/server.log -k gevent --max-requests 100 --graceful-timeout 3600 -t 3 
end script 


然后 ， 执 行 service docker-registry start， 将 在 本 地 的 15000 端 口 启动 registry 服 务 。 


14.2 ”用户 认证 


通常 在 生产 场景 中 ， 对 私有 仓库 还 需要 进行 访问 代理 和 提供 认证 和 用 户 管理 。 


配置 Nginx 代 理 


使 用 Nginx 来 代理 registry 服 务 的 原理 十 分 简单 ， 在 上 一 节 中 ， 我 们 让 registry 服 务 监 听 在 127.0.0.1:15000， 这 意味 着 只 人 允许 本 机 才能 通过 15000 端 口 访问 到 ， 其 他 主机 是 无 法 访问 到 的 。 


为 了 让 其 他 主机 访问 到 ， 可 以 通过 Nginx 监 听 在 对 外 地 址 的 5000 端 口 ， 当 外 部 访问 请 求 到 达 5000 端 口 时 ， 内 部 再 将 请 求 转发 到 本 地 的 15000 端 口 。 


首先 ， 安 装 Nginx。 


$ sudo apt-get -y install nginx 


在 /etc/nginx/sites-available/ 目 录 下 ， 创 建新 的 站 点 配置 文件 /etc/nginx/sites-available/docker-registry.conf， 代 理 本 地 的 5000 端 口 转发 到 15000 端 口 。 


配置 文件 内 容 为 : 


# 本 地 的 registry 服 务 监听 在 15000 端 口 
upstream docker-registry ( 
server localhost:15000; 


l 
# 代理 服务 器 监听 在 5000 端 口 
server { 
listen 5000; 
server name private-registry-server.com; 
# ssl on; 
* ssl certificate /etc/ssl/certs/docker-registry; 
# ssl certificate key /etc/ssl/private/docker-registry; 
proxy set header Host Shttp host; # required for Docker client sake 
proxy set header X-Real-IP S$remote addr; # pass on real client IP 
client max body size 0; # disable any limits to avoid HTTP 413 for large image uploads 
chunked transfer encoding on; 
location / ( N 
# 配置 转发 对 于 /的 访问 请 求 到 registry 服 务 
proxy pass http://docker-registry; 
} 


location / ping { 
# 配置 生发 对 于 /ping 的 访问 请 求 到 registry 服 务 
auth basic off; 
proxy pass http://docker-registry; 
) 
location /vl/ ping ( 
+ 配置 转发 对 于 /v1/ping 的 访问 请 求 到 registry 服 务 
auth basic off; 
proxy pass http://docker-registry; 


建立 配置 文件 软 连接 ， 放 到 /etc/nginx/sites-enabled/ 下 面 ， 让 Nginx 启 用 它 ， 最 后 重启 Nginx 服 务 。 


$ sudo ln -s /etc/nginx/sites-available/docker-registry.conf /etc/nginx/sites-enabled/docker-registry.conf 
$ service nginx restart 


之 后 ， 可 以 通过 上 传 镜像 来 测试 服务 是 否 正 常 。 测 试 上 传 本 地 的 ubuntu : latest 镜 像 : 


$ sudo docker tag ubuntu:14.04 127.0.0.1:5000/ubuntu:latest 
$ sudo docker push 127.0.0.1:5000/ubuntu:latest 


添加 用 户 认 证 


公共 仓库 DockerHub 是 通过 注册 索引 (index) 服务 来 实现 的 。 由 于 index 服 务 并 没有 完善 的 开源 实现 ， 在 这 里 介绍 基于 Nginx 代 理 的 用 户 访问 管理 方案 。 


Nginx 支 持 基 于 用 户 名 和 密码 的 访问 管理 。 


首先 ， 在 配置 文件 的 location/ 字 段 中 添加 两 行 。 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
location / ( T 

# let Nginx know about our auth file 

auth basic "Please Input username/password"; 

auth basic user file docker-registry-htpasswd; 

proxy pass http://docker-registry; 


http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


auth basic "Please Input username/password"; 行 说 明 启用 认证 服务 ， 不 通过 的 请 求 将 无 法 转发 。 


auth basic user file docker-registry-htpasswd; 指定 了 验证 的 用 户 名 密码 存储 文件 为 本 地 (/etc/nginx/ 下 ) 的 docker-registry-htpasswd 文 件 。 


docker-registry-htpasswd 文 件 中 存储 用 户 名 密码 的 格式 为 每 行 放 一 个 用 户 名 、 密 码 对 : 


http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
userl:passwordl 
user2:password2 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


需要 注意 的 是 ， 密 码 字段 存储 的 并 不 是 明文 ， 而 是 使 用 crypt 函 数 加 密 过 的 字符 串 。 


要 生成 加 密 后 的 字符 串 ， 可 以 通过 htpasswd 工 具 ， 首 先 安装 apache2-utils: 


$ sudo aptitude install apache2-utils -y 


创建 用 户 user1， 并 添加 密码 。 


例如 ， 如 下 的 操作 会 创建 /etc/ngix/docker-registry-htp asswd 文 件 来 保存 用 户 名 和 加 密 后 的 密码 信息 ， 并 创建 user1 和 对 应 密码 。 


$ sudo htpasswd -c /etc/nginx/docker-registry-htpasswd userl 
$ New password: 

$ Re-type new password: 

$ Adding password for user userl 


添加 更 多 用 户 ， 可 以 重复 上 面 的 命令 (密码 文件 存在 后 ， 不 需 使 用 -< 选项 重新 创建 ) 。 


由 


最 后 ， 重 新 启动 Nginx 服 务 。 


$ sudo service nginx restart 


此 时 ， 通 过 浏览 器 访问 本 地 的 服务 http://127.0.0.1:5000/v1/search， 会 弹出 对 话 框 ， 提 示 需 要 输入 用 户 名 和 密码 。 


通过 命令 行 访问 ， 需 要 在 地 址 前 面 带 上 用 户 名 和 密码 才能 正常 返回 : 


$ curl USERNAME:PASSWORD@localhost:5000/v1/search 


143 ”使 用 私有 仓库 批量 上 传 镜像 


在 第 一 部 分 对 Docker 私 有 仓库 的 讲解 中 ， 我 们 介绍 了 如 何 使 用 本 地 私有 仓库 进行 上 传 、 下 载 等 操作 。 有 时 候 ， 本 地 镜像 很 多 ， 逐 个 打 标记 上 传 将 十 分 浪费 时 间 。 这 里 我 们 给 出 两 个 自动 化 脚本 ， 来 快速 
完成 对 大 量 镜像 的 上 传 操作 。 


批量 上 传 指定 镜像 


可 以 使 用 下 面 的 push_images.sh 脚 本 ， 批 量 上 传 本 地 的 镜像 到 注册 服务 器 中 ， 默 认 是 本 地 注册 服务 器 127.0.0.1: 5000， 用 户 可 以 通过 修改 registry=127.0.0.1: 5000 这 行 来 指定 目标 注册 服务 器 : 


#!/bin/sh 

# This script will upload the given local images to a registry server ($registry is the default value). 

# See: https://github.com/yeasy/docker practice/blob/master/_local/push images.sh 

# Usage: push images imagel [image2http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15029/OEBPS/Text/...] 
4 Author: yeasy8ügithub 

# Create: 2014-09-23 

#The registry server address where you want push the images into 

registry-127.0.0.1:5000 


### DO NOT MODIFY THE FOLLOWING PART, UNLESS YOU KNOW WHAT IT MEANS ### 
echor () ( 
$# -ne 1 ] && return 0 
echo -e "X033 [31m$1X033 [O0m" 
} 
echo g O0 { 
$# -ne 1 ] && return 0 
echo -e "\033[32m$1\033 [0m" 
} 
echo y () { 
$# -ne 1 ] && return 0 
echo -e "\033[33m$1\033 [0m" 
} 
echo b () { 
$# -ne 1 ] && return 0 
echo -e "\033[34m$1\033 [0m" 


} 
usage() { 
sudo docker images 
echo "Usage: $0 registryl:tagl [registry2:tag2http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15029/OEBPS/Text/...]" 


[ $# -lt 1 ] && usage && exit 
echo b "The registry server is $registry" 
for image in "$Q" 
do 
echo b "Uploading Simagehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/..." 
sudo docker tag $image $registry/S$image 
sudo docker push $registry/$image 
sudo docker rmi $registry/$image 
echo g "Done" 
done 


建议 把 脚本 存放 到 本 地 的 可 执行 路 径 下 ,例如 /usr/local/bin/ 下 面 。 


然后 添加 可 执行 权限 ， 就 可 以 使 用 该 脚本 了 : 


$ sudo chmod atx /usr/local/bin/push images.sh 


例如 ， 推 送 本 地 的 ubuntu: latest 和 centos: centos7 两 个 镜像 到 本 地 仓库 : 


$ ./push images.sh ubuntu:latest centos:centos7 

The registry server is 127.0.0.1 

Uploading ubuntu:latesthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
The push refers to a repository [127.0.0.1:5000/ubuntu] (len: 1) 

Sending image list 

Pushing repository 127.0.0.1:5000/ubuntu (1 tags) 

Image 511136ea3c5a already pushed, skipping 

Image bfb8b5a2ad34 already pushed, skipping 

Image clf3bdbd8355 already pushed, skipping 

Image 897578f527ae already pushed, skipping 

Image 9387bcc9826e already pushed, skipping 

Image 809ed259f845 already pushed, skipping 

Image 96864a7d2df3 already pushed, skipping 

Pushing tag for rev [96864a7d2df3] on (http://127.0.0.1:5000/v1/repositories/ubuntu/tags/latest) 
Untagged: 127.0.0.1:5000/ubuntu:latest 

Done 

Uploading centos:centos7http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
The push refers to a repository [127.0.0.1:5000/centos] (len: 1) 
Sending image list 

Pushing repository 127.0.0.1:5000/centos (1 tags) 

Image 511136ea3c5a already pushed, skipping 

34e94e67e63a: Image successfully pushed 

70214e5d0a890: Image successfully pushed 

Pushing tag for rev [70214e5d0a90] on (http://127.0.0.1:5000/v1/repositories/centos/tags/centos?7] 
Untagged: 127.0.0.1:5000/centos:centos7 

Done 


上 传 后 ， 查 看 本 地 镜像 ， 会 发 现 上 传 中 创建 的 临时 标签 也 同时 被 清理 了 。 


上 传 本 地 所 有 镜像 


在 push_images 工 具 的 基础 上 ， 还 可 以 进一步 的 创建 push_all 工 具 ， 来 上 传 本 地 所 有 镜像 : 


#!/bin/sh 
# This script will upload all local images to a registry server ($registry is the default value). 
# This script requires the push images, which can be found at https://github.com/yeasy/docker practice/blob/master/ local/push images.sh 
# Usage: push all 
4 Author: yeasy8ügithub 
# Create: 2014-09-23 
for image in "sudo docker images|grep -v "REPOSITORY" |grep -v "«none»"|awk '(print $1":"$2)'^ 
do 
push images.sh $image 
done H 


同样 ， 读 者 把 它 放 在 /usr/local/bin/ 下 面 ， 并 添加 可 执行 权限 ， 之 后 就 可 以 通过 push_all 命 令 来 上 传 本 地 所 有 镜像 到 本 地 私有 仓库 了 。 


144 仓库 配置 文件 


Docker 的 Registry 利 用 配置 文件 提供 了 一 些 仓库 的 模板 (flavor) ， 用 户 可 以 直接 使 用 它们 来 进行 开发 或 生产 部 署 。 


我 们 将 以 下 面 的 示例 配置 为 例 ， 来 介绍 如 何 使 用 仓库 配置 文件 来 管理 私有 仓库 。 


示例 配置 


#All other flavors inherit the 'common' config snippet 
common: &common 

issue: '"docker-registry server"' 

# 默认 记录 info 和 以 上 级 别 的 日 志 

loglevel: env:LOGLEVEL:info 

# 是 否 启用 debug 模 式 

debug:  env:DEBUG:false 

# 默认 是 standalone 模 式 ， 不 查询 index 服 务 

standalone:  env:STANDALONE:true 

4 非 standalone 模 式 下 的 index 服 务 默认 是 index.docker.io 

index endpoint:  env:INDEX ENDPOINT:https://index.docker.io 

+ 默认 不 启用 存储 转向 2 

Storage redirect:  env:STORAGE REDIRECT 

* 非 standalone 模 式 下 启用 基于 口令 音 的 认证 

disable token auth:  env:DISABLE TOKEN AUTH 


# 默认 不 使 用 特权 
privileged key:  env:PRIVILEGED KEY 
# 搜索 后 端 支持 
search backen env:SEARCH BACKEND 
# SOLite 搜 索 后 端 数据 库 地 址 
Sqlalchemy index database:  env:SQLALCHEMY INDEX DATABASE:sqlite:////tmp/docker-registry.db 
# 默认 不 启用 镜像 服务 5 T 
mirroring: 
source: _env:MIRROR_SOURCE # https://registry-1.docker.io 
source_index: _env:MIRROR_SOURCE_INDEX # https://index.docker.io 
tags cache ttl:  env:MIRROR TAGS CACHE TTL:172800 # seconds 
cache: ^. = 
host: _env:CACHE_REDIS_HOST 
port: _env:CACHE | REDIS | PORT 
db: env:CACHE REDIS DB:0 
password: env:CACHE REDIS PASSWORD 
+ 访问 远 端 存储 后 器 时 ， 配 置 LRU 缓 存 | 
host: .env:CACHE LRU REDIS HOST 
port: env:CACHE | LRU REDIS PORT 
db:  env:CACHE IRU | REDIS DB:0 
password: env: ':CACHE | LRU | REDIS PASSWORD 
+ 发 三 异常 时 发 送 李 件 道 知 
email exceptions: 
smtp host: _env:SMTP HOST 
smtp port: env: SMTP PORT:25 
smtp login:  env:SMTP LOGIN 
smtp ' password: env: SMTP PASSWORD 
smtp secure: env:SMTP SECURE:false 
from addr:  env:SMTP FROM ADDR:docker-registry8localdomain.local 
to addr: env:SMTP TO ADDR:noise4dockerregistry8localdomain.local 
# 启用 bugsnag cz: 
bugsnag:  env:BUGSNAG 
# CORS 支 持 ， 默 认 林 启用 
cors: 
origins: _env:CORS_ORIGINS 
methods: ^ env:CORS METHODS 
headers:  env:CORS HEADERS: [Content-Type] 
expose 1 headers: env: CORS EXPOSE HEADERS 
supports í credentials: env: CORS : SUPPORTS | CREDENTIALS 
max age: _env:CORS 1 MAX j - AGE 
: env: CORS SEND WILDCARD 
always send: , env: CORS | ALWAYS : SEND 
automatic | options: env:CORS | AUTOMATIC ( OPTIONS 
vary header: env: CORS VARY HEADER 
resources:  env:CORS RESOURCES 
local: &local 
<<: *common 
storage: local 
storage path:  env:STORAGE PATH:/tmp/registry 
S3: &s3 
<<: *common 
storage: s3 
S3 region: _env:AWS REGION 
S3 bucket:  env:AWS BUCKET 
boto bucket:  env:AWS BUCKET 
storage path: env:STORAGE PATH:/registry 
S3 encrypt:  env:AWS ENCRYPT:true 
S3 secure: _env:AWS SECURE:true 
S3 access key: env:AWS KEY 
S3 secret . key: env:AWS SECRET 
boto host: env:AWS HOST 
boto port: env:AWS PORT 
boto calling format: .env:AWS CALLING FORMAT 
* Ceph RKE 
ceph-s3: &ceph-s3 
<<: *common 
storage: s3 
s3_region: ~ 
s3_bucket: _env:AWS_BUCKET 
S3 encrypt:  env:AWS ENCRYPT: false 
S3 secure: env:AWS SECURE:false 
storage path:  env:STORAGE PATH:/registry 
S3 access key:  env:AWS KEY 
S3 secret key:  env:AWS SECRET 
boto bucket:  env:AWS BUCKET 
boto host: env:AWS HOST 
boto port:  env:AWS PORT 
boto debug: env: AWS | DEBUG:0 
boto calling format: .env:AWS CALLING FORMAT 
# Google 云 存储 配置 
gcs: 
<<: *common 
storage: gcs 
boto bucket:  env:GCS BUCKET 
storage path: env:STORAGE PATH:/registry 
gs secure: env: GCS : SECURE:true 
gs access key: env: 'GCS KEY 
gs secret key:  env:GCS SECRET 
# 存储 服务 的 OAuth 2.0 认 证 
oauth2:  env:GCS OAUTH2:false 
+ 存储 镜像 文件 到 Openstack Swift 服务 
swift: &swift 
««: *common 
storage: swift 
storage path:  env:STORAGE PATH:/registry 
# keystone authorization 
Swift authurl:  env:OS AUTH URL 
swift container: env: [os] | CONTAINER 
swift user: env: OS | USERNAME 
swift password:  env:OS PASSWORD 
swift tenant name ; env: ':08 TENANT NAME 
swift region name: "env:OS REGION NAME 
+ 存储 镜像 文件 到 Open Stack Glance ~ 
4 参见 : https://github.com/docker/openstack-docker 
glance: &glance 
<<: *common 
storage: glance 
storage alternate: env:GLANCE STORAGE ALTERNATE:file 
storage path: env:STORAGE PATH:/tmp/registry 
openstack: 
<<: *glance 
# 存储 镜像 文件 到 Glance， 标 签 信息 到 Swift 
glance-swift: &glance-swift 
<<: *swift 
storage: glance 
storage alternate: swift 
openstack-swift: 
<<: *glance-swift 
elliptics: 
<<: *common 
storage: elliptics 
elliptics nodes:  env:ELLIPTICS NODES 
elliptics wait timeout:  env:ELLIPTICS WAIT TIMECUT:60 
elliptics « | check timeout: env: ELLIPTICS CHECK TIMEOUT: 60 
elliptics io thread num: ^ env:ELLIPTICS IO THREAD NUM:2 
elliptics net thread num: env: ELLIPTICS | NET THREAD NUM:2 
elliptics nonblocking io thread num:  env:ELLIPTICS NONBLOCKING IO THREAD NUM:2 
elliptics groups: env: ELLIPTICS GROUPS 
elliptics verbosity:  env:ELLIPTICS VERBOSITY:4 
elliptics logfile:  env:ELLIPTICS LOGFILE:/dev/stderr 
elliptics addr family: env:ELLIPTICS ADDR FAMILY:2 
# 默认 启用 的 配置 选项 E wg m. 
dev: &dev 
««: *local 
loglevel: | env:LOGLEVEL:debug 
debug:  env:DEBUG:true 
search backend:  env:SEARCH BACKEND:sqlalchemy 
# 用 于 测试 ” 2s T 


test: 
<<: *dev 
index endpoint: https://registry-stage.hub.docker.com 
standalone: true 
storage path:  env:STORAGE PATH:./tmp/test 
# 在 环境 变量 5ETTINGS5 _FTLAVOR 中 指定 启用 哪个 配置 ， 例 如 $ export SETTINGS FLAVOR-prod 
rod: 
E <<: *s3 
storage path:  env:STORAGE PATH:/prod 


模板 
在 config sample.yml 文 件 中 ， 可 以 看 到 一 些 现成 的 模板 段 : 
common: 基础 配置 。 
< local: 存储 数据 到 本 地 文件 系统 。 


< s3: 存储 数据 到 AWS S3 中 。 


- dev: 使 用 local 模 板 的 基本 配置 。 

test: 单元 测试 使 用 。 

“ prod: 生产 环境 配置 (基本 上 跟 83 配 置 类 似 ) 。 

ges: 存储 数据 到 Google 的 云 存 储 。 

“swift: 存储 数据 到 OpenStack Swift 服务 。 

- glance: 存储 数据 到 OpenStack Glance 服 务 ， 本 地 文件 系统 为 后 备 。 
: glance-swift: 存储 数据 到 OpenStack Glance 服 务 ，Swift 为 后 备 。 


- elliptics: 存储 数据 到 Elliptics key/value 存 储 。 


户 也 可 以 添加 自 定义 的 模板 段 。 


默认 情况 下 使 用 的 模板 是 dev， 要 使 用 某 个 模板 作为 默认 值 ， 可 以 添加 SETIINGS_FLAVOR 到 环境 变量 中 ， 例 如 : 


export SETTINGS FLAVOR-dev 


另外 ， 配 置 文件 中 支持 从 环境 变量 中 加 载 值 ， 语 法 格式 为 : 


. env: VARIABLENAME [ : DEFAULT] 


选项 

基本 选项 如 下 : 
“ loglevel: 字符 串 类 型 ， 标 注 输出 调试 信息 的 级 别 ， 包 括 debug、info、warn、error 和 和 ctitical。 
| debug: 布尔 类 型 ， 开 启 后 会 在 访问 /_ping 时 候 输 出 更 多 的 信息 ， 包 括 库 版 本 和 主机 信息 等 。 
' storage_tedirect: 重 定向 存储 请 求 。 
* boto_host/boto_port: 使 用 s3 模 板 时 ， 标 准 boto 配 置 文件 的 位 置 。 

认证 选项 如 下 : 
“standalone: 布尔 类 型 ， 运 行 在 独立 模式 下 ， 不 进行 用 户 验 证 等 ， 同 时 会 配置 disable_token_auth。 
index endpoint: 字符 串 ， 配 置 index 服 务 位 置 ， 用 来 验证 用 户 ， 黑 认 是 https:/Vindex.dockerio。 
* disable token auth: 布尔 类 型 ， 禁 止 通过 token 进 行 验证 ， 此 时 用 户 需 要 提供 自己 的 验证 机 制 。 


搜索 选项 如 下 : 


Docker 注 册 服 务 器 可 以 将 仓库 的 索引 信息 放 到 数据 库 中 ， 供 通过 GET 方 法 访问 /v1/search 时 使 用 。 


* search backend: 选择 搜索 后 端 类 型 ， 目 前 仅 支持 sqlalchemy。 用 户 也 可 以 将 它 指定 为 自 定义 的 模块 。 例 如 : 


common: 
search backend: foo.registry.index.xapian 


* sqlalchemy_index_database: 当 使 用 sqlalchemy 作 为 索引 后 端 引擎 时 ， 可 以 通过 sqlalchemy_index_database 来 指定 创建 数据 库 的 位 置 。 例 如 


common: 
search backend: sqlalchemy 
Sglalchemy index database: sqlite:////tmp/docker-registry.db 


镜像 选项 都 放 在 mirroring 字 段 下 面 ， 例 如 : 


common: 
mirroring: 
source: https://registry-1.docker.io 
source index: https://index.docker.io 
tags cache ttl: 172800 $ 2 days 


默认 并 未 启用 。 


缓存 选项 包括 cache 字 段 和 cache_lru 字 段 ,例如 : 


cache: 

host: env:CACHE REDIS HOST 

port:  env:CACHE REDIS PORT 

db: env:CACHE REDIS DB:0 

password:  env:CACHE REDIS PASSWORD 
4 Enabling LRU cache for small files 
# This speeds up read/write on small files 
4 when using a remote storage backend (like S3). 
cache lru: 

host: .env:CACHE LRU REDIS HOST 

port: env:CACHE LRU REDIS PORT 

db: env:CACHE LRU REDIS DB:0 

password: env:CACHE LRU REDIS PASSWORD 


通过 配置 缓存 (事先 本 地 要 启动 一 个 LRU 模 式 下 的 redis 服 务 器 ) ， 可 以 将 小 文件 缓存 在 本 地 ， 加 速 仓库 的 查询 性 能 。 


Email 选项 为 email_exceptions 字 段 ， 通 过 配置 该 选项 ， 当 仓库 发 生 异 常 时 可 自动 发 送 Email。 例 如 


email exceptions: 
smtp host: env:SMTP HOST 
smtp port:  env:SMTP PORT:25 
smtp login:  env:SMTP LOGIN 
smtp password:  env:SMTP PASSWORD 
smtp secure:  env:SMTP SECURE:false 
from addr: env:SMTP FROM ADDR:docker-registry8localdomain.local 
to addr: env:SMTP TO ADDR:noisetdockerregistry8localdomain.local 


存储 选项 为 storage， 该 选项 将 选择 事先 存储 的 引擎 ， 仓 库 默 认 自 带 两 种 类 型 的 引擎 : file 和 s3。 用 户 如 果 需 


H 


HESS, TABI TAAS RETR 


引擎 并 安装 。 


$ pip search docker-registry-driver 
$ pip install docker-registry-driver-NAME 


安装 后 ， 可 能 需要 对 引擎 进行 配置 。 目 前 支持 的 引擎 包括 : 
“ elliptics (一 种 分 布 式 键 值 数据 存储 ) 

“swift (OpenStack 的 子 项 目 ， 提 供 对 象 存储 服务 ) 

* ges (Goolge 的 子 存储 ) 

“glance (OpenStack 的 子 项 目 ， 提 供 文件 存储 服务 ) 


file 引 擎 


file 引 擎 意味 着 存储 到 本 地 文件 。 当 使 用 file 引 擎 的 时 候 ， 可 以 通过 storage_path 来 指定 存储 的 具体 位 置 ， 以 local 模 板 为 例 ， 默 认为 /tmp/registry。 


local: &local 
<<: *common 
storage: local 
storage path:  env:STORAGE PATH:/tmp/registry 


因此 ， 我 们 在 运行 registry 镜 像 时 ， 可 以 挂 载 本 地 目录 到 这 个 位 置 ， 来 保存 仓库 中 的 数据 到 本 地 ， 即 


$ docker run -p 5000 -v /tmp/registry:/tmp/registry registry 


s351% 
s35|SE RACER SEIN SR z.HRAS. TEZs35 BSE: 
53 access key: 字符 串 类 型 ，s3 的 访问 口令 。 
. s3_secret_key; 字符 串 类 型 ，s3 密 钥 。 
83 bucket: 字符 囊 类 型 ，s3 桶 名 称 。 
*s3 region: s3 桶 所 在 的 存放 域 。 
t3 encrypt: 布尔 类 型 ， 是 否 加 密 存储 。 
“ s3_secure: 布尔 类 型 ， 进 行 访问 时 是 否 启用 HTTPS。 
“ boto bucket: 字符 串 类 型 ， 对 s3 不 兼容 对 象 存储 的 桶 名 。 
“ boto host: 字符 串 类 型 ， 对 s3 不 兼容 对 象 存储 的 主机 。 
` boto_port: 对 s3 不 兼容 对 象 存储 的 端口 。 
“ boto_debug: 对 s3 不 兼容 对 象 存储 的 调试 输出 。 
* boto calling format: 字符 串 类 型 ，boto 调 用 所 使 用 格式 的 类 名 。 
"storage path: 字符 品类 型 ， 镜 像 文件 存储 的 子路 径 。 


例如 : 


prod: 
storage: s3 
S3 region: us-west-1 


S3 bucket: acme-docker 

storage path: /registry 

8S3 access key: AKIAHSHB43HS3J92MXZ 

S3 secret key: xdDowwlK7TJajVlY7EoOZrmuPEJlHYCNP2k4j49T 


145 ”本 章 小 结 


本 章 详 细 介 绍 了 使 用 docker-registry 的 两 种 主要 方式 : 通过 容器 方式 运行 和 通过 本 地 安装 运行 并 注册 为 系统 服务 ， 以 及 添加 Nginx 反 向 代理 和 添加 基于 HTTP 的 用 户 认证 功能 。 接 下 来 编写 了 批量 上 传 镜 
像 到 仓库 的 脚本 实现 。 最 后 还 详细 介绍 了 docker-registry 配 置 文件 中 各 个 选项 的 含义 和 使 用 。 


通过 本 章 的 学 习 ， 读 者 将 能 轻松 搭建 一 套 私有 的 仓库 服务 环境 ， 并 对 其 进行 管理 操作 。 私 有 仓库 服务 是 集中 存储 镜像 的 场所 ， 它 的 稳定 性 将 影响 整个 Docker 使 用 环节 。 


在 生产 环境 中 ， 笔 者 推荐 使 用 负载 均衡 来 提高 仓库 服务 的 性 能 ; 还 可 以 利用 HAProxy 等 方式 对 仓库 服务 进行 容错 。 同 时 ， 为 了 安全 考虑 ， 可 以 为 仓库 访问 启用 HTTPS 等 加 密 协议 来 确保 通信 的 安全 。 


第 15 章 ”构建 Docker 容 器 集群 


对 Docker 不 熟悉 的 读者 在 生产 环境 中 使 用 Docker 的 过 程 中 ， 往 往 会 磁 到 构建 集群 的 需求 。 这 里 最 核心 的 问题 就 是 让 不 同 主机 中 的 Docker 容 器 可 以 互相 访问 。 


本 章 将 介绍 几 种 解决 方案 ， 包 括 利 


口 映射 实现 容器 之 间 的 快速 互联 ， 使 用 Ambassador 容 器 解决 跨 主 机 的 容器 互联 等 。 最 后 ， 对 现 有 方案 的 问题 进行 探讨 。 


Eid 


在 实际 应 用 中 ， 读 者 可 根据 自身 情况 灵活 选择 或 组 合 几 种 方案 来 满足 需求 。 


15.1. 使 用 自 定义 网 桥 连接 跨 主机 容器 


Docker 默 认 的 网 桥 是 docker0。 它 只 会 在 本 机 连接 所 有 的 容器 。 


举例 来 说 容器 的 虚拟 网 卡 在 主机 上 看 一 般 叫 做 veth* 而 docker0 网 桥 把 所 有 这 些 网 卡 桥接 在 一 起 ， 如 下 所 示 : 


[root(opnvz ~]# brctl show 


bridge name bridge id STP enabled interfaces 
docker0 8000.56847afe9799 no veth0889 
veth3c7b 
veth4061 


在 容器 中 看 到 的 地 址 一 般 是 像 下 面 这 样 的 地 址 : 


root@ac6474aeb31d:~# ip a 
1: lo: «LOOPBACK, UP, LOWER UP» mtu 1500 qdisc noqueue state UNKNOWN group default 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
valid lft forever preferred lft forever 
inet6 ::1/128 scope host 
valid lft forever preferred lft forever 
11: eth0: «BROADCAST, UP, LOWER UP» mtu 1500 qdisc pfifo fast state UP group default qlen 1000 
link/ether 4a:7d:68:da:09:cf brd ff:ff:ff:ff:ff:ff ^. 
inet 172.17.0.3/16 scope global eth0 
valid lft forever preferred lft forever 
inet6 fe80::487d:68ff:feda:9cf/64 scope link 
valid lft forever preferred lft forever 


这 样 就 可 以 把 这 个 网 络 看 成 是 一 个 私有 的 网 络 ， 如 果 要 让 外 网 连接 到 容器 中 ， 就 需要 做 端口 映射 ， 即 -p 参 数 。 


例如 ， 主 机 A 和 主机 B 的 网 卡 一 都 连 着 物理 交换 机 的 同一 个 vlan 101， 这 样 网 桥 一 和 网 桥 三 就 相当 于 在 同一 个 物理 网 络 中 了 ， 而 容器 一 、 容 器 三 、 容 器 四 也 在 同一 物理 网 络 中 了 ， 它 们 之 间 可 以 相互 通 
信 ， 而 且 可 以 跟 同一 vlan 中 的 其 他 物理 机 器 互联 ， 如 图 15-1 所 示 。 


图 15-1 跨 主机 的 Docker 容 器 互联 


下 面 以 ubuntu 系统 为 例 ， 创 建 跨 多 个 主机 主机 的 容器 联网 。 


首先 ， 创 建 自己 的 网 桥 br0， 编 辑 /etc/networkyVinterface 文 件 : 


auto br0 

iface br0 inet static 

address 192.168.7.31 

netmask 255.255.240.0 

gateway 192.168.7.254 

bridge ports emi 

bridge stp off 

dns-nameservers 8.8.8.8 192.168.6.1 


重启 后 ， 默 认 将 本 地 物理 网 卡 em1 连 接 到 了 br0 上 。 


在 本 地 修改 /etc/default/docker 文 件 ， 添 加 最 后 一 行内 容 : 


4 Docker Upstart and SysVinit configuration file 

# Customize location of Docker binary (especially for development testing). 
$DOCKER-" /usr/1local/bin/docker" 

# Use DOCKER OPTS to modify the daemon ee options. 

*DOCKER OPTS-"--dns 8.8.8.8 --dns 8.8.4.4 

# If you need Docker to use an HTTP proxy, it can also be specified here. 
fexport http proxy-"http://127.0.0.1:3128/" 

# This is also a handy place to tweak where Docker's temporary files go. 
#export TMPDIR-"/mnt/bigdrive/docker-tmp" 

DOCKER OPTS-"-b-br0" 


在 启动 Docker 的 时 候 使 用 -b 参 数 可 以 将 容器 绑 定 到 指定 网 桥 br0 上 。 


重启 Docker 服 务 后 ， 再 进入 容器 可 以 看 到 它 已 经 连接 到 物理 网 络 上 了 : 


rootgubuntudocker:-4 ra ps 


CONTAINER ID IMA COMMAND CREATED STATUS PORTS NAMES 
58b043aa05eb decus vi "/startup.sh" 5 days ago Up 2 seconds 5900/tcp, 6080/tcp, 22/tcp X yanlx 
root&ubuntudocker:-4 brctl show 
bridge name bridge id STP enabled interfaces 
bro 8000. 7e6e617c8d53 no emi 
vethe6e5 


这 样 的 情况 下 ， 容 器 端口 通过 映射 直接 暴露 到 物理 网 络 上 ， 多 台 物 理 主 机 的 容器 通过 访问 外 部 映射 端口 即 可 相互 联网 了 。 这 样 实现 的 主要 问题 是 需要 知道 容器 所 在 物理 主机 的 IP 地 址 。 


15.2 ”使 用 Ambassador 容 器 


当 两 个 Docker 容 器 在 同一 主机 (或 虚拟 机 ) 时 ， 可 以 通过 --link 命 令 让 两 者 直接 互相 访问 。 如 果 要 跨 主机 实现 容器 互联 ， 则 往往 需要 容器 知道 其 他 物理 主机 的 IP 地 址 。 利 用 Ambassador 容 器 机 制 ， 可 


以 让 互联 的 容器 无 需 知道 所 在 物理 主机 的 IP 地 址 即 可 互联 。 


基本 场景 


Ambassador 容 器 也 是 一 种 Docker 容 器 ， 它 在 内 部 提供 了 转发 服务 。 


如 图 15-2 所 示 。 当 客户 端 容器 要 访问 服务 端 容器 的 时 候 ， 直 接 访 问 客户 端 Ambassador 容 器 ; 这 个 请 求 会 被 客户 端 Ambassador 转 发 出 去 ， 到 达 服 务 端 主机 。 服 务 端 Ambassador 容 器 监听 在 对 应 端口 
上 ， 收 到 请 求 后 再 转发 请 求 给 服务 端 容器 。 


客户 端 Ambassador 容器 服务 端 Ambassador 容器 


客户 端 主机 服务 端 主机 


图 15-2 ”通过 Ambassador 容 器 实现 容器 互联 


使 用 Ambassador 容 器 


以 redis 镜 像 为 例 。 


首先 在 服务 端 主机 上 创建 一 个 服务 端 容器 redis-server: 


$ sudo docker run -d -name redis-server crosbymichael/redis 


创建 一 个 服务 端 Ambassador 容 器 redis_ambassador， 连 接 到 服务 端 容 器 redis-server， 并 监听 本 地 的 6379 端 


$ sudo docker run -d -link redis-server:redis -name redis ambassador -p 6379:6379 svendowideit/ambassador 


在 客户 端 主 机 上 创建 客户 端 Ambassador 容 器 ， 告 诉 它 服务 端 物理 主机 的 监听 地 址 是 tcp://x.x.x.x: 6379， 将 本 地 收集 到 6379 端 口 的 流量 转发 到 服务 端 物理 主机 : 


$ sudo docker run -d -name redis ambassador -expose 6379 -e REDIS PORT 6379 TCP-tcp://x.x.x.x:6379 svendowideit/ambassador 


最 后 ， 创 建 一 个 客户 端 容器 ， 进 行 测试 ， 默 认 访 问 6379 端 口 实际 上 是 访问 的 服务 端 容器 内 的 redis 应 用 : 


$ sudo docker run -i -t -rm -link redis ambassador:redis relateig/redis-cli 
redis 172.17.0.160:6379» ping 
PONG 


Ambassador 镜 像 的 Dockerfile 


Ambassador 镜 像 的 Dockerfile 如 下 所 示 。 其 实现 十 分 简单 ， 主 要 是 一 行 正则 表达 式 ， 从 环境 变量 中 找到 包含 “TCP” 字 符 串 的 变量 ， 然 后 使 用 正则 表达 式 `*_ PORT([0-9]) TCP-tcpA/ V O:C*) 从 中 提 
取 IP 和 端口 号 ， 最 后 利用 socat (一 个 socket 转 发 程序 ) 将 流量 转发 到 指定 的 地 址 上 : 


FROM docker-ut 
MAINTAINER SvenDowideit8home.org.au 
CMD env | grep TCP- | sed 's/.* PORT \([0-9]*\)_TCP=tcp:\/\/\(.*\):\(.*\)/socat TCPA-LISTEN:Ml, fork, reuseaddr TCP4:N2:N3 \&/' | sh && top 


这 种 情况 下 ， 需 要 额外 的 Ambassador 容 器 ， 并 且 也 仍然 需要 知道 目标 容器 所 在 的 物理 主机 的 地 址 。 


153 ”本章 小 结 


本 章 介绍 了 实现 Docker 容 器 集群 的 两 种 基本 方式 ， 通 过 端口 映射 方法 实现 利用 外 部 物理 网 络 的 构建 ， 以 及 通过 Ambassador 容 器 来 解决 容器 跨 主 机 情况 下 通过 内 网 地 址 访问 的 问题 。 


实际 上 ， 要 实现 容器 集群 的 管理 ， 关 键 要 实现 两 方面 的 需求 ， 一 是 容器 名 称 的 动态 管理 ， 即 容器 利用 固定 的 名 称 可 以 互相 访问 ， 即 使 有 容器 发 生 重启 ; 另外 一 方面 是 需要 底层 网 络 提供 灵活 的 跨 主机 的 
支持 租户 隔离 的 连接 。 


现 有 的 方案 ， 在 这 两 方面 的 解决 并 没有 做 到 十 分 完美 。 一 旦 容器 发 生 重启 ， 容 器 内 分 配 到 的 IP 发 生变 化 ， 原 先 的 连接 就 无 法 使 用 了 。 同 时 ， 底 层 直接 暴露 在 物理 网 络 上 ， 依 赖 于 指定 物理 地 址 的 访问 ， 
无 法 实现 灵活 的 租户 隔离 等 需求 。 


要 解决 容器 名 称 的 动态 管理 ， 有 不 同 的 思路 ， 包 括 添加 反 向 代理 的 方式 、 社 区 内 正在 讨论 的 几 个 补丁 以 及 SkyDNS+SkyDock、etcd、consul 等 工具 ， 本 质 上 就 是 实现 一 套 容器 名 到 地 址 的 访问 ， 或 者 
说 实现 容器 的 DNS 系统 。 


而 解决 底层 网 络 的 灵活 连接 ， 则 需要 使 用 Overlay 技 术 。 这 方面 可 以 基于 VXLAN 等 网 络 虚拟 化 协议 实现 跨 主机 甚至 跨 物理 网 络 的 大 二 层 连 通 。 事 实 上 ， 管 理 虚 拟 机 的 Openstack 等 项 目 提 供 了 相对 成 熟 
的 基于 SDN 的 网 络 管理 方案 ， 已 经 可 以 很 好 地 支持 容器 之 间 的 网 络 管理 。 


现在 ， 已 经 有 包括 Shipyard、Kubernetes 等 项 目 实现 一 整套 的 容器 集群 管理 方案 ， 笔 者 将 在 第 三 部 分 中 进行 介绍 。 


第 16 章 ”在 公有 云 上 使 用 Docker 


Docker 目 前 已 经 得 到 了 众多 的 公有 云 平台 的 良好 支持 ， 包 括 Aliyun、Amazon、Rackspace、Softlayer、 腾 讯 云 等 。 


在 国内 的 公有 云 厂商 中 ， 阿 里 云 率先 对 其 ECS 服 务 器 上 安装 Docker 提 供 了 更 友好 的 支持 。 本 章 将 以 国内 的 阿里 云 为 例 ， 介 绍 在 公有 云 平台 上 安装 、 使 用 Docker 的 过 程 和 注意 事项 。 其 中 第 一 节 介绍 了 在 
阿里 云 的 ECS 服 务 器 上 安装 Docker 的 详细 步骤 和 用 法 ， 第 二 节 介绍 了 在 阿里 云 上 使 用 Docker 的 一 些 特 色 服 务 。 


16.1 公有 云 上 安装 Docker 
以 阿里 云 提供 的 CentOS6.5 系 统 和 Ubuntu 14.04 系 统 为 例 ， 介 绍 安装 和 使 用 Docker 的 过 程 。 


16.1.1 CentOS 6.5 系 统 


首先 ， 在 阿里 云 网 站 上 申请 机 器 ， 选 择 CentOS 6.5 系 统 。 


通过 ssh 登 录 阿 里 云 的 服务 器 ， 查 看 系统 版 本 号 以 及 内 核 版 本 : 


$ ssh user@your aliyun vm 
Welcome to aliyun Elastic Compute Service! 
# lsb release -a 


LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch 
Distributor ID: CentOS 

Description: CentOS release 6.5 (Final) 

Release: 6.5 

Codename: Final 


# uname -a 
Linux xxxxxxx 2.6.32-431.23.3.e16.x86 64 #1 SMP Thu Jul 31 17:20:51 UTC 2014 x86 64 x86 64 x86 64 GNU/Linux 


可 以 看 到 ， 内 核 默认 为 比较 旧 的 2.6 系 列 版 本 。 


1. 升 级 内 核 


Docker 推 荐 使 用 3.8 以 上 内 核 ， 所 以 推荐 首先 升级 内 核 。 


导入 KEY， 安 装 软件 源 。 在 YUM 的 ELRepo 源 中 ， 有 mainline (3.13.1) 、long-term (3.10.28) 这 2 个 内 核 版 本 ， 考 虑 到 long-term 会 长 期 保持 支持 和 更 新 ， 所 以 选择 这 个 版 本 : 


4 rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org 
# yum --enablerepo-elrepo-kernel install kernel-lt -y 
Loaded plugins: security 


base | 3.7 kB 00:00 
base/primary db | 4.6 MB 00:00 
elrepo ES | 2.9 kB 00:00 
elrepo/primary db | 709 kB 00:46 
elrepo-kernel ` | 2.9 kB 00:00 
elrepo-kernel/primary db | 20 kB 00:01 
epel E | 4.4 kB 00:00 
epel/primary db | 6.3 MB 00:01 
extras | 3.4 kB 00:00 
extras/primary db | 29 kB 00:00 
updates | 3.4 kB 00:00 
updates/primary db | 181 kB 00:00 


Setting up Install Process 
Resolving Dependencies 

--» Running transaction check 

---» Package kernel-1t.x86 64 0:3.10.59-1.e16.elrepo will be installed 
--» Finished Dependency Resolution 

Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 
kernel-lt x86 64 3.10.59-1.e16.elrepo elrepo-kernel 33M 


Transaction Summary 
Install 1 Package (s) 
Total download size: 33 M 
Installed size: 153 M 
Downloading Packages: 
kernel-1t-3.10.59-1.e16.e1repo.x86 64.rpm | 33 MB 28:58 
Running rpm check debug 
Running Transaction Test 
Transaction Test Succeeded 
Running Transaction 
Warning: RPMDB altered outside of yum. 
Installing : kernel-1t-3.10.59-1.e16.elrepo.x86 64 1/1 
Verifying : kernel-1t-3.10.59-1.e16.elrepo.x86 64 1/1 
Installed: 
kernel-1t.x86 64 0:3.10.59-1.e16.elrepo 
Complete! i 


安装 后 ， 检 查 /etc/grub.conf 文 件 ， 查 看 默认 的 启动 内 核 。 新 安装 的 内 核 一 般 在 第 一 个 ， 这 里 把 default=1 改 为 default=0 就 好 了 : 


default=1 

timeout=5 

splashimage= (hd0, 0)/boot/grub/splash.xpm.gz 

hiddenmenu 

title CentOS (3.10.59-1.e16.elrepo.x86 64) 
root (hd0, 0) T 
kernel /boot/vmlinuz-3.10.59-1.e16.elrepo.x86 64 ro root-UUID-94e4e384-0ace-437f-bc96-057dd64f42ee rd NO LUKS rd NO LVM LANG-en US.UTF-8 rd NO MD SYSFONT-latarcyrheb-st 
initrd /boot/initramfs-3.10.59-1.e16.e1repo.x86 64.img n n nS 


title CentOS (2.6.32-431.23.3.e16.x86 64) 
root (hd0, 0) T 
kernel /boot/vmlinuz-2.6.32-431.23.3.e16.x86_64 ro root-UUID-94e4e384-0ace-437f-bc96-057dd64f42ee rd NO LUKS rd NO LVM LANG-en US.UTF-8 rd NO MD SYSFONT-latarcyrheb-sur 
initrd /boot/initramfs-2.6.32-431.23.3.e16.x86 64.img 


启 云 主 机 ， 查 看 内 核 是 否 升级 成 功 : 


# uname -a 
Linux xxxxxxx 3.10.59-1.el6.elrepo.x86 64 #1 SMP Thu Oct 30 23:46:31 EDT 2014 x86 64 x86 64 x86 64 GNU/Linux 


2. 安 装 Docker 


添加 软件 源 ， 并 安装 Docker 软 件 : 


# yum install http://mirrors.yun-idc.com/epel/6/1386/epel-release-6-8.noarch.rpm 
4 yum install docker-io 


3. 启 动 Docker 


使 用 service 命 令 启动 Docker， 发 现 会 提示 有 问题 : 


# service docker start 

Starting cgconfig service: [ OK ] 

Starting docker: [ OK ] 

# docker version 

Client version: 1.2.0 

Client API version: 1.14 

Go version (client): gol.3.3 

Git commit (client): fa7b24f/1.2.0 

OS/Arch (client): linux/amd64 

2014/11/05 21:03:08 Cannot connect to the Docker daemon. Is 'docker -d' running on this host? 


使 用 docker-d 启 动 方式 来 查看 详细 的 启动 过 程 : 


# docker -d 

2014/11/05 21:10:56 docker daemon: 1.2.0 fa7b24f/1.2.0; execdriver: native; graphdriver: 
[40a2dcc2] +job serveapi (unix:///var/run/docker.sock) 

[info] Listening for HTTP on unix (/var/run/docker.sock) 

[40a2dcc2] +job init networkdriver() 


[40a2dcc2.init networkdriver()] creating new bridge for docker0 
Could not find a free IP address range for interface 'docker0'. Please configure its address manually and run 'docker -b docker0"' 
[40a2dcc2] -job init networkdriver() = ERR (1) 


2014/11/05 21:10:56 Could not find a free IP address range for interface 'docker0'. Please configure its address manually and run 'docker -b docker0' 


提示 没有 空余 ip 分 配给 docker0 了 。 


可 以 使 用 --bip 参 数 来 手工 分 配给 ip 地 址 。 比 如 : 


# docker --bip-192.168.100.1/24 -d & 

2] 2388 

root(iZ23pznlje4Z ~]# 2014/11/05 21:16:55 docker daemon: 1.2.0 fa7b24f/1.2.0; execdriver: native; graphdriver: 
dc6906e7] +job serveapi (unix:///var/run/docker.sock) 

info] Listening for HTTP on unix (/var/run/docker.sock) 

dc6906e7] +job init networkdriver () 

dc6906e7] -job init networkdriver() = OK (0) 

2014/11/05 21:16:55 WARNING: Your kernel does not support cgroup swap limit. 

[info] Loading containers: 

[info] : done. 
[ 
[ 


[ 
[ 
[ 
[ 
[ 
[ 


dc6906e7] +job acceptconnections () 
dc6906e7] -job acceptconnections() = OK (0) 


仍然 有 警告 Your kernel does not support cgroup swap limit, 


使 用 Ilxc-checkconfig 进 行 检查 : 


# lxc-checkconfig 

Kernel configuration not found at /proc/config.gz; searchinghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Kernel configuration found at /boot/config-3.10.59-1.e16.elrepo.x86 64 E 
--- Namespaces --- ne 
Namespaces: enabled 

Utsname namespace: enabled 

Ipc namespace: enabled 

Pid namespace: enabled 

User namespace: missing 

Network namespace: enabled 

Multiple /dev/pts instances: enabled 

=a- Control groups === 

Cgroup: enabled 

Cgroup clone children flag: enabled 

Cgroup device: enabled 

Cgroup sched: enabled 

Cgroup cpu account: enabled 

Cgroup memory controller: enabled 

Cgroup cpuset: enabled 

--- Misc --- 

Veth pair device: enabled 

Macvlan: enabled 

Vlan: enabled 

File capabilities: enabled 

Note : Before booting a new kernel, you can check its configuration 
usage : CONFIG-/path/to/config /usr/bin/lxc-checkconfig 


可 以 看 到 Control groups 项 目 在 内 核 是 支持 的 ， 所 以 可 以 暂时 忽略 这 个 告警 。 


4 .测试 使 用 


首先 ， 下 载 ubuntu 镜像 。 这 里 使 用 Dockerpool 官 方 网 站 的 标准 ubuntu 镜像 来 进行 测试 。 


下 载 镜像 ， 


新 标记 和 镜像: 


# docker pull dl.dockerpool.com:5000/ubuntu:14.04 

# docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
dl.dockerpool.com:5000/ubuntu latest 5506de2b643b 12 days ago 197.8 MB 
# docker tag 550 ubuntu 

# docker rmi dl.dockerpool.com:5000/ubuntu 


[dc6906e7] +job image delete (dl.dockerpool.com:5000/ubuntu) 

[dc6906e7] +job log (untag,  5506de2b643bele6febbf3b8a240760c6843244c41el2aa2f60ccbb7153d17f5, ) 
[dc6906e7] -job log (untag,  5506de2b643bele6febbf3b8a240760c6843244c41el2aa2f60ccbb7153d17f5, ) = OK (0) 
[dc6906e7] -job image delete (dl.dockerpool.com:5000/ubuntu) = OK (0) 

Untagged: dl.dockerpool.com:5000/ubuntu:latest 


利用 刚 下 载 的 镜像 启动 一 个 容器 ， 并 测试 网 络 : 


# docker run -ti ubuntu 

root866ff9a55a4f5:/f ping www.dockerpool.com 

PING www.dockerpool.com (xxx.xxx.xxx.xxx) 56(84) bytes of data. 
^C64 bytes from 203.195.193.251: icmp seq-1 ttl-47 time-31.4 ms 


16.1.2. Ubuntu 14.04 Zt 


Ubuntu 14.04 的 内 核 是 比较 新 的 3.13 版 本 ， 可 以 较 好 地 支持 Docker， 所 以 不 需要 进行 升级 。 


利用 apt-get 安 装 Docker 步 骤 如 下 : 


apt-get update 

apt-get install apt-transport-https 

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 36A1D7869245C8950F966E92D8576A8BA88D21E9 
bash -c "echo deb https://get.docker.io/ubuntu docker main > /etc/apt/sources.list.d/docker.list" 

apt-get update 

apt-get install lxc-docker 


dde db dE GEHE 


启动 的 时 候 也 会 遇 到 无 法 分 配 空闲 1P 的 提示 ， 可 以 使 用 如 下 命令 : 


# docker --bip 192.168.100.1/24 -d & 


启动 即 可 。 


后 面 的 下 载 和 测试 步骤 与 CentOS 类 似 ， 在 此 不 再 歼 述 。 


162 ”阿里 云 Docker 的 特色 服务 


图 16-2 是 阿里 云 ECS Docker 的 完整 生态 图 (摘自 阿里 云 官方 网 站 ) 。 


图 16-2 (摘自 阿里 云 官方 网 站 ) 描述 了 了 使 用 阿里 云 ECS Docker 将 使 开发 、 测 试 和 运 维 之 间 合 作 更 加 紧密 ， 各 司 其 职 ， 实 现 更 高 的 效率 。 
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图 16-2 ”阿里 云 ECS Docketr 的 生态 图 


阿里 云 镜像 市 场 中 的 第 三 方 Docker 镜 像 


在 阿里 云 的 镜像 市 场 有 一 款 镜像 “Docker 运 行 环境 ”， 如 图 16-3 所 示 ， 它 的 操作 系统 使 用 Ubuntu 14.0464 位 并 预 装 了 Docker 1.2 版 本 ， 一 旦 ECS 实 例 运行 ， 读 者 就 能 在 其 上 构建 和 运行 Docker 容 器 
了 。 镜 像 地 址 为 : http://market.aliyun.com/imageproduct/16-122106003-jxsc000057.html 


Docker 运 行 环境 (Ubuntu 64 位 ) 


cese xv 5.0 分 


服务 南 : 杭州 云集 通信 和 料 技 有 限 公司 在 线 客服 : 9.00.17:40 (DAREA) 


BFR : Ubuntu 14.04 64 位 ECS 实 网 规格 推荐 : ecs 世 XsmrmalJ 上 


支持 : ECSRETS 可 用 地 域 : 杭州 : 青岛 :北京 :深圳 


图 16-3 ”阿里 云 市 场 上 的 Docket 运 行 环 境 


专 为 阿里 云 ECS 用 户 提供 下 载 的 Docker 私 有 仓库 


为 方便 ECS 用 户 使 用 Docker 官 方 镜像 ， 阿 里 云 同 步 Docker 官 方 镜像 库 的 最 新 版 本 到 国内 服务 器 ， 使 得 ECS 用 户 可 以 通过 内 网 连接 该 服务 器 。 这 些 镜像 来 自 Docker Hub 的 stackbrew 用 户 下 的 所 有 镜像 
仓库 ,一 部 分 镜像 由 Docker 官 方 维护 ， 一 部 分 由 软件 官方 社区 维护 。 目 前 只 支持 镜像 下 载 。 


笔者 下 面 展 示 一 下 如 何 使 用 阿里 云 的 源 来 下 载 镜像 。 


阿里 云 的 私有 仓库 不 支持 使 用 标准 方式 来 查询 ， 下 面 的 结果 返回 为 空 : 


# curl registry.mirrors.aliyuncs.com/v1l/search 
("num results": 0, "query": "", "results": []] 


不 过 ， 官 方 公布 了 两 种 下 载 镜像 的 方法 。 


第 一 种 方法 


可 以 通过 下 面 的 命令 下 载 各 种 镜像 : 


docker pull registry.mirrors.aliyuncs.com/library/debian 
docker pull registry.mirrors.aliyuncs.com/library/hello-world 
docker pull registry.mirrors.aliyuncs.com/library/zend-php 
docker pull registry.mirrors.aliyuncs.com/library/wordpress 
docker pull registry.mirrors.aliyuncs.com/library/ubuntu-upstart 
docker pull registry.mirrors.aliyuncs.com/library/ubuntu-debootstrap 
docker pull registry.mirrors.aliyuncs.com/library/ubuntu 
docker pull registry.mirrors.aliyuncs.com/library/ruby 

docker pull registry.mirrors.aliyuncs.com/library/registry 
docker pull registry.mirrors.aliyuncs.com/library/redis 
docker pull registry.mirrors.aliyuncs.com/library/rails 
docker pull registry.mirrors.aliyuncs.com/library/python 
docker pull registry.mirrors.aliyuncs.com/library/postgres 
docker pull registry.mirrors.aliyuncs.com/library/php 

docker pull registry.mirrors.aliyuncs.com/library/perl 

docker pull registry.mirrors.aliyuncs.com/library/opensuse 
docker pull registry.mirrors.aliyuncs.com/library/node 

docker pull registry.mirrors.aliyuncs.com/library/mageia 
docker pull registry.mirrors.aliyuncs.com/library/jruby 
docker pull registry.mirrors.aliyuncs.com/library/jenkins 
docker pull registry.mirrors.aliyuncs.com/library/java 

docker pull registry.mirrors.aliyuncs.com/library/hylang 
docker pull registry.mirrors.aliyuncs.com/library/hipache 
docker pull registry.mirrors.aliyuncs.com/library/golang 
docker pull registry.mirrors.aliyuncs.com/library/gcc 

docker pull registry.mirrors.aliyuncs.com/library/fedora 
docker pull registry.mirrors.aliyuncs.com/library/docker-dev 
docker pull registry.mirrors.aliyuncs.com/library/crux 

docker pull registry.mirrors.aliyuncs.com/library/crate 
docker pull registry.mirrors.aliyuncs.com/library/clojure 
docker pull registry.mirrors.aliyuncs.com/library/cirros 
docker pull registry.mirrors.aliyuncs.com/library/centos 
docker pull registry.mirrors.aliyuncs.com/library/busybox 
docker pull registry.mirrors.aliyuncs.com/library/buildpack-deps 
docker pull registry.mirrors.aliyuncs.com/library/nginx 
docker pull registry.mirrors.aliyuncs.com/library/mongo 
docker pull registry.mirrors.aliyuncs.com/library/neurodebian 
docker pull registry.mirrors.aliyuncs.com/library/mysql 


我 们 来 测试 下 这 个 内 网 的 阿里 云 源 下 载 速度 如 何 ， 让 我 们 来 下 载 一 个 ubuntu : 14.04 的 镜像 : 


# time docker pull registry.mirrors.aliyuncs.com/library/ubuntu:14.04 

2014/11/19 21:22:22 Error: Invalid registry endpoint https://registry.mirrors.aliyuncs.com/vl/: Get https://registry.mirrors.aliyuncs.com/vl/ ping: dial tcp 10.157.230.35:443: 
real 0m5.020s 

user 0m0.009s 

Sys O0m0.006s 


如 果 读 者 跟 我 一 样 已 经 将 Docker 的 版 本 升级 到 1.3， 那 么 就 会 出 现 这 个 提示 ， 当 我 们 使 用 1.3 版 本 的 Docker 来 下 载 非 官方 镜像 时 ， 都 会 让 我 们 手工 确认 该 源 的 安全 性 ， 如 果 确 认 没 问题 ， 则 需要 手工 添 
加 --insecure-registry 到 启动 参数 中 。 具 体 的 添加 方法 在 本 书 最 后 的 FAQ 中 有 详细 介绍 。 


添加 完 之 后 ， 我 们 再 次 来 下 载 ubuntu : 14.045: 


$ sudo time docker pull registry.mirrors.aliyuncs.com/library/ubuntu 
Pulling repository registry.mirrors.aliyuncs.com/library/ubuntu 
5506de2b643b: Download complete 

511136ea3c5a: Download complete 

d497ad3926c8: Download complete 

Ccb62158e970: Download complete 

e€791be0477f2: Download complete 

3680052c0f5c: Download complete 

22093c35d77b: Download complete 

Status: Image is up to date for registry.mirrors.aliyuncs.com/library/ubuntu:latest 
real 0m12.681s 

user 0m0.010s 

sys 0m0. 007s 


12 秒 就 下 载 了 ubuntu : latest 镜 像 ， 还 可 以 手工 指定 需要 下 载 的 版 本 : 


$ sudo docker pull registry.mirrors.aliyuncs.com/library/ubuntu:12.04 

Pulling repository registry.mirrors.aliyuncs.com/library/ubuntu 

0b310e6bf058: Download complete 

511136ea3c5a: Download complete 

5f18d94c3eca: Download complete 

53db23c604fd: Download complete 

9f£045ea36057: Download complete 

d03ala9d7555: Download complete 

30868777£275: Download complete 

Status: Downloaded newer image for registry.mirrors.aliyuncs.com/library/ubuntu:12.04 


第 二 种 方法 


创建 from_aly 空 目录 ， 并 在 其 中 创建 Dockerfile 文 件 : 


$ mkdir from aly 
$ cd from aly/ 
$ vi Dockerfile 


Dockerfile 内 容 为 : 


FROM registry.mirrors.aliyuncs.com/library/ubuntu:14.04 


根据 这 个 一 句 话 的 Dockerfile 创 建 镜像 : 


$ sudo docker build -t ubuntu aly:14.04 . 

Sending build context to Docker daemon 2.56 kB 

Sending build context to Docker daemon 

Step 0 : FROM registry.mirrors.aliyuncs.com/library/ubuntu:14.04 
Pulling repository registry.mirrors.aliyuncs.com/library/ubuntu 
5506de2b643b: Download complete 


511136ea3c5a: Download complete 

d497ad3926c8: Download complete 

Ccb62158e970: Download complete 

e791be0477f2: Download complete 

3680052c0f5c: Download complete 

22093c35d77b: Download complete 

Status: Image is up to date for registry.mirrors.aliyuncs.com/library/ubuntu:14.04 
---» 5506de2b643b 

Successfully built 5506de2b643b 


支持 阿里 云 OSS 的 私有 仓库 


官方 在 Github 上 有 一 个 项 目 docker-registry， 专 门 用 于 自 建 Docker 的 私有 镜像 库 。 镜 像 管 理 是 Docker 的 核心 ， 为 了 保证 镜像 数据 的 可 靠 、 可 用 和 安全 ，docker-registry 现 在 支持 镜像 数据 存储 在 $3、 
GCS 等 云 存 储 上 。 


已 经 有 人 给 docker-registry 开 发 了 针对 阿里 云 OSS 的 驱动 ， 并 把 它 和 docker-registry 一 起 做 成 了 Docker 镜 像 。 以 下 是 快速 启动 支持 OSS 的 docker-registry 的 方式 : 


$ sudo docker run -e OSS BUCKET-«your ali oss bucket» -e STORAGE PATH-/docker/ -e OSS KEY-«your ali oss key» -e OSS SECRET-«your ali oss secret» -p 5000:5000 -d chrisjin/regist 


读者 也 可 以 从 https://github.com/docker/docker-registry 下 载 安装 docker-registry， 并 通过 pip 安 装 OSS driver, 


$ sudo pip install docker-registry-driver-alioss 


接 下 来 配置 config.yml。 


local: &local 
<<: *common 
storage: alioss 
storage path:  env:STORAGE PATH:/devregistry/ 
oss bucket:  env:OSS BUCKET[:default value] 
oss accessid: env:05S KEY[:your access id] 
oss accesskey:  env:OSS SECRET[:your access key] 


最 后 启动 docker-registry。 


DOCKER REGISTRY CONFIG- [your config path] gunicorn -k gevent -b 0.0.0.0:5000 -w 1 docker registry.wi:application 


163 “本章 小 结 


公有 云 已 经 提供 了 诸多 虚拟 化 带 来 的 便利 ， 那 么 在 上 面 使 用 Docker 还 有 意义 吗 ? 


其 实 ， 通 过 整合 公有 云 的 虚拟 机 和 Docker 方 式 ， 可 能 获得 更 多 的 好 处 ， 包 括 : 
E 快速 交付 和 部 署 。 
: 利用 内 核 级 虚拟 化 ， 对 公有 云 中 服务 器 资源 进行 更 加 高 效 地 利用 。 


“ 利用 公有 云 和 Docker 的 特性 更 加 方便 的 迁移 和 扩展 应 用 。 


以 一 个 简单 的 应 用 开发 、 测 试 和 发 布 过程 来 说 明 Docker 在 公有 云 上 的 应 用 过 程 。 


首先 ， 运 维和 人 员 在 公有 云 上 搭建 稚 有 Docker 注 册 服 务 器 ， 以 存储 项 目 组 镜像 。 开 发 人 员 在 开发 过 程 中 从 措 建 的 私有 Docker Registry 获 取 应 用 需要 的 基础 镜像 。 


之 后 ， 可 以 开发 并 构造 应 用 容器 ， 测 试 通过 后 提交 容器 为 新 的 镜像 并 推送 到 私有 的 Docker Registry。QA 在 测试 云 服务 器 上 测试 容器 ， 通 过 后 提交 到 私有 的 Docker Registry, 


最 后 ， 发 布 人 员 下 载 最 新 版 本 镜像 并 在 生产 云 服务 器 上 部 团 容 器 。 


第 17 章 ”Docker 实 践 之 道 


笔者 在 刚 接触 Docker 的 时 候 ， 曾 回想 到 起 自己 第 一 次 安装 和 使 用 Linux 的 情景 。 


坐 了 两 个 小 时 的 公交 车 专门 到 电脑 市 场 ， 花 20 块 钱 买 了 2 张 Redhat 9 的 安装 盘 。 回 来 后 兴 冲 冲 删除 了 电脑 上 原本 的 Windows 2000 系 统 ， 安 装 完 之 后 ， 却 发 现 无 法 访问 网 络 。 从 笔者 决定 要 安装 Redhat 
到 最 后 能 正常 使 用 ， 并 完成 一 些 基本 的 日 常 操作 ， 花 了 将 近 半 个 月 的 时 间 。 


而 现在 ， 只 需要 一 个 命令 就 可 以 下 载 一 个 操作 系统 ， 比 如 docker pull centos7 就 可 以 完成 当年 半 个 月 才能 完成 的 工作 。 当 然 ， 我 们 也 可 以 通过 VMware、Virtrbox 等 工具 来 实现 同样 的 需求 。 但 是 
Docker 正 以 一 种 前 所 未 有 的 方式 让 我 们 可 以 快速 在 各 种 Linux 发 行 版 中 切换 。 这 对 Linux 爱 好 者 来 说 真是 一 种 福音 。 此 外 ， 读 者 还 可 以 使 用 Docker 在 个 人 电脑 〈PC 或 笔记 本 ) 上 来 搭建 各 种 开发 环境 ， 且 不 
必 担 心 破坏 个 人 电脑 中 的 系统 环境 (如 环境 变量 ) 和 应 用 程序 。 系 统 架构 师 们 也 可 以 使 用 Docker 来 快速 搭建 各 种 网 络 架构 的 系统 ， 且 可 以 方便 的 管理 这 些 系统 之 间 的 数据 连接 和 共享 。 


目前 Docker 发 展 迅速 ， 基 于 Docker 的 Paas 平 台 也 层出不穷 。 这 让 技术 创业 者 无 需 折腾 服务 器 部 署 ， 只 需 专注 业务 代码 的 实现 即 可 。 


n 


本 章 主要 介绍 了 Docker 在 个 人 的 学 习 和 技术 创业 方面 的 典型 应 用 场景 ， 以 及 如 何 使 用 Docker 为 企业 构建 标准 化 的 开发 、 测 试 、 生 产 环境 。 


171 个 人 学 习 之 道 


本 章节 ， 笔 者 希望 和 大 家 一 起 探讨 Docker 在 个 人 技术 学 习 和 修炼 的 过 程 中 起 到 的 积极 作用 ， 并 与 大 家 探讨 Docker 作 为 一 款 全 栈 神器 ”和 修炼 利器 ”的 内 涵 与 外 延 。 


笔者 是 在 技术 圈 沉 浸 多 年 的 开源 技术 爱好 者 ， 平 时 对 自己 的 技能 提高 有 着 习惯 性 地 追求 ， 对 新 技术 有 着 持续 的 好 奇 心 。 如 果 读者 经 常 逛 各 大 IT 论坛 和 社区 的 话 ， 那 么 读者 会 发 现 技 术 圈 内 的 这 类 Geek 不 


算 少 数 。 而 恰恰 是 这 帮 热 爱 技术 并 乐于 实践 的 Geek， 给 整个 中 国 IT 界 的 技术 更 新 和 创新 注入 了 新 活力 。 比 如 润 物 细 无 声 的 Python 社 区 ， 火 热 的 Ruby 社 区 和 快速 发 展 的 Golang 社 区 。 这 帮 走 在 技术 前 沿 的 
Geek， 也 给 个 人 的 职业 生涯 创造 了 更 多 的 机 遇 ， 往 往 也 可 以 带 来 更 好 的 待遇 。 可 见 ， 修 炼 与 不 修炼 ， 这 是 一 个 伪 命 题 。 因 为 如 果 彻 底 放 弃 技术 学 习 ， 那 么 被 淘汰 只 是 时 间 问 题 。 所 以 ， 如 何 使 用 Docker 将 
技术 修炼 的 效能 最 大 化 ， 是 笔者 想 和 大 家 分 享 的 一 个 有 趣 的 话题 。 


笔者 将 从 以 下 两 点 出 发 讨论 工程 师 的 修炼 之 道 : 
: 温 故 而 知 新 : 快速 入 门 并 建立 自己 的 Docker 化 的 代码 库 。 


- 众人 拾 柴火 焰 高 : 使 用 Docker Hub 发 布 开源 项 目 。 


174.1 温 故 而 知 新 


孔子 日 : “ 温 故 而 知 新 ， 可 以 为 师 侨 ”。 现 代 软 件 / 运 维 工 程 师 ， 与 古代 的 铁匠 木匠 一 样 ， 都 是 利用 工具 进行 创造 性 工作 的 哲人 。 工 作 若 干 年 后 ， 笔 者 发 现 身 边 的 优秀 工程 师 ， 无 一 不 似 折 人 般 追 求 精进 
技能 和 拓展 视野 。 作 为 即 需要 “ 温 故 ”又 需要 “ 知 新 ”的 “匠人 ”工程 师 ， 如 果 将 Docker 的 作用 最 大 化 呢 ? 下 面 ， 笔 者 将 从 三 个 方面 去 阐述 : 


- 快速 上 手 Hello World: 去 除 学 习 过 程 中 的 “噪音 ”， 快 速 上 手 开发 环境 。 
“ Docker 化 的 代码 仓库 : 从 收集 代码 ， 到 收集 Docker 容 器 。 
“ 面向 业务 编程 : 快速 使 用 新 技术 支撑 新 业务 。 


1. 快 速 上 手 Hello World 


众所周知 ，IT 新 技术 的 学 习 往往 从 Hello World 开 始 。 这 是 学 习 新 知识 的 标准 思路 : 最 小 系统 原则 ， 即 从 变量 最 少 的 最 小 系统 开始 ， 循 序 渐进 地 学 习 。 


现实 生活 中 ， 简 单 的 事物 背后 往往 蕴含 着 复杂 的 机 制 。 我 们 在 构建 最 小 系统 的 时 候 ， 首 先 面 对 的 就 是 其 母 环境 (或 者 说 前 置 条 件 ) 的 搭建 。 虽 然 随 着 程序 语言 和 系统 程序 的 发 展 ， 语 言 和 工具 都 越 来 越 
好 学 好 用 。 但 学 习 成 本 仍然 居 高 不 下 。 各 大 编程 语言 论坛 中 关于 环境 安装 的 问题 总 是 层出不穷 。 


通过 Docker 的 使 用 ,我 们 可 以 将 精力 和 注意 力 都 尽快 地 放 在 语言 本 身 的 学 习 上 ， 而 无 需 折腾 系统 环境 的 各 种 配置 。Docker 官 网 的 口号 就 包含 了 以 上 含义 : Build, Shipand Run Any 
App，Anywhere， 即 任何 应 用 ， 都 可 以 构建 ， 发 布 ， 运 行 于 任何 环境 ， 将 环境 的 影响 因素 降 至 最 低 ， 统 一 地 掌控 整个 应 用 的 生命 周期 。 


目前 Docker 官 方 支持 的 编程 语言 镜像 就 有 十 几 种 ， 涵 盖 所 有 的 主流 编程 语言 的 开发 环境 。 除 此 之 外 ， 常 用 数据 库 ， 缓 存 系统 ， 主 流 Web 框 架 等 都 有 官方 的 镜像 。 除 此 之 外 ，Docker Hub 还 提供 丰富 的 
第 三 方 镜像 和 Dockerfile。 


2.Docker 化 的 代码 仓库 


常用 代码 库 往 往 是 软件 工程 师 实现 高 效 交 付 的 “绝活 ”。 在 技术 团队 中 ， 为 何 行业 新 人 和 资深 工程 师 之 间 的 生产 力 可 以 有 几 信 甚至 几 十 倍 的 差距 呢 ? 暂且 不 论 基 础 技能 的 差距 ， 同 样 是 做 一 件 任务 ,新 
人 接手 后 首先 面 对 的 就 是 思路 和 工具 的 抉择 ， 然 后 需要 面 对 实 践 中 的 各 种 “ 坑 ，” 。 而 资深 工程 师 接手 后 ， 如 果 拥 有 Docker 化 的 代码 仓库 ， 那 么 就 可 以 快速 完成 任务 。 停 止 研发 的 历史 任务 ， 也 可 以 以 
Docker 容 器 的 方式 保存 。 以 后 遇 到 类 似 的 需求 ， 可 以 直接 运行 ， 调 试 并 复 用 代码 。 


3. 面 向 业务 编程 


国人 编著 了 一 本 非常 干货 的 程序 员 基 本 素养 的 书籍 叫 《 程 序 员 的 自我 修养 -链接 ， 构 建 与 库 》， 书 中 提 到 一 点 : MOP Market/Money Oriented Programming (面向 市 场 或 利润 编程 ) 是 唯一 不 变 的 
编程 范式 () 。 现 在 的 !T 业 界 ， 每 年 都 创造 出 各 种 语言 和 工具 来 解决 各 种 问题 ， 如 高 并 发 或 用 户 体验 问题 等 。 俗 话说 : 站 得 高 ， 望 得 远 。IT 工 程 师 如 何 高 效 的 提高 素养 并 跟 上 技术 发 展 的 脚步 ， 是 业界 关心 
的 问题 。 


笔者 根据 Docker 的 特性 ， 给 出 一 个 可 行 方案 : 使 用 Docker 快 速 掌握 新 技术 要 点 并 完成 适当 的 技术 储备 。 下 面 ， 笔 者 举 一 些 简单 的 例子 说 明 : 若 读者 是 Python 技术 栈 的 后 端 工程 师 ， 熟 悉 常 规 网 站 的 后 
台 建 设 ， 那 么 如 何 快速 实现 移动 应 用 的 Restful API Sever 呢 ? 笔者 在 此 建议 读者 去 Docker Hub 搜 索 适 合 做 API 服 务 器 的 Python 快速 开发 框架 。 如 docker pull python， 以 此 为 基础 ， 加 入 SSH 服 务 ， 数 据 库 
和 开发 框架 ， 即 可 构建 一 个 Python 容器 。 然 后 ， 通 过 docker run 运 行 容器 。 此 时 即 可 使 用 浏览 器 访问 自 定义 容器 中 的 AP 接口 。 可 见 ，Docker 可 以 帮助 软件 工程 师 面 向 业务 需求 ， 快 速 了 解 新 技术 ， 或 进行 
各 种 技术 研究 。 


17.1.2 ”众人 拾 柴火 焰 高 


随 着 各 类 开源 组 织 和 社区 的 风靡， 软件 / 运 维 工程 师 都 可 以 使 用 拿手 的 语言 和 工具 ， 参 与 到 各 种 开源 项 目 中 。 这 不 仅 提高 了 自己 ， 也 造福 了 技术 圈 中 的 使 用 者 。 笔 者 在 此 建议 : 读者 如 果 参 与 开源 项 目的 
建设 ， 那 么 可 以 通过 Docker 完 成 程序 的 打包 ， 测 试 ， 发 布 和 部 署 。 这 样 可 以 统一 又 清晰 的 管理 整个 开源 项 目 。 


笔者 在 此 举例 说 明 : 读者 加 入 开源 贡献 者 的 队伍 后 ， 首 先 需 要 搭建 统一 的 开发 环境 。 如 果 完 成 编码 工作 后 不 进行 全 面 的 测试 ， 则 无 法 提供 完整 的 Test Case， 一 般 而 言 是 无 法 快速 提交 至 主 版 本 库 的 。 那 
么 ， 使 用 Docker 发 布 项 目 后 ， 任 何 参与 者 可 以 一 键 运行 各 种 运行 环境 (容器 ) ， 轻 松 的 运行 单元 测试 ， 最 终 可 以 快速 提交 代码 至 主干 (Trunk) 。 


17.2 ”技术 创业 之 道 


目前 的 互联 网 创业 团队 往往 需要 在 人 力 紧缺 的 情况 下 快速 发 布 Demo 或 初版 产品 ， 并 快速 迭代 ， 以 发 布 切合 市 场 需求 的 产品 。 


本 章 笔者 将 从 以 下 两 点 出 发 ， 阐 述 Docker 如 何 帮 助 创业 团队 在 以 上 条 件 下 ， 做 得 更 快 更 好 : 


- 使 用 Docker 助 力 DevOps: 搭建 Docker 化 的 DevOps 流 程 。 


- 产品 的 Docketr 化 发 布 : 助力 构建 各 种 SaaS、PaaSs 平 台 。 


使 用 Docker 助 力 DevOps 


敏捷 开发 是 一 套 软 件 工程 方法 论 。 其 中 有 一 个 重要 的 概念 是 DevOps。 


DevOps (英文 Development 和 Operations 的 组 合 ) 是 一 组 过 程 、 方 法 与 系统 的 统称 ， 用 于 促进 开发 (应 用 程序 /软件 工程 ) 、 技 术 运营 和 质量 保障 (QA) 部 门 之 间 的 沟通 、 协 作 与 整合 。 它 的 出 现 是 
由 于 软件 行业 日 益 清晰 地 认识 到 : 为 了 按时 交付 软件 产品 和 服务 ， 开 发 和 运营 工作 必须 紧密 合作 。 


DevOps 从 一 开始 的 敏捷 开发 的 常用 实践 方法 论 ， 逐 渐 落 地 至 大 量 的 生产 环境 。 时 至 今日 已 经 经 常 出 现在 很 多 技术 团队 的 日 常 工作 中 。 


从 上 文 引 用 的 维基 百科 释义 可 以 看 出 ，DevOps 的 核心 理念 在 于 生产 团队 (研发 ， 运 维 ，QA) 之 间 的 高 效 沟通 协作 ， 以 解决 以 下 常见 问题 : 


“ 更 小 、 更 频繁 的 需求 变更 。 

“ 生产 环境 不 受 开发 人 员 控 制 。 

“ 业务 应 用 程序 成 为 中 心 ， 而 不 是 基础 设施 。 

“ 定义 简洁 明了 的 研发 部 署 流程 需要 更 多 成 本 与 时 间 。 
“ 研发 部 署 流程 无 法 彻底 自动 化 。 


“ 现 有 PaaS 虚 拟 机 难以 促成 开发 与 运营 的 协作 。 


在 这 种 情况 下 ， 使 用 Docker 可 以 满足 以 下 几 点 : 


: 完整 地 封装 系统 : 包括 OS 系 统 ，Lib 环 境 ，App 应 用 ， 完 整 的 三 层 封装 。 
“ 自由 地 定制 系统 : 包括 以 上 三 层 的 灵活 又 彻底 的 自 定义 。 


“ 方便 地 发 布 系统 : 包括 部 署 管理 ， 自 动 化 部 署 。 


产品 的 Docker 化 发 布 
b 署 ， 跨 平台 能 力 强 的 特性 ， 所 以 Docker 非 常 适合 做 自动 化 的 持续 集成 ， 和 快速 部 署 。 这 种 情况 下 ， 直 接 使 用 Docker 建 设 产品 的 发 布 流程 ， 不 仅 可 以 方便 地 管理 迭代 与 集成 ， 还 


由 于 Docker DTH 
可 以 直接 以 Docker 化 的 方式 (Dockerize) 发 布 产品 。 


其 部 署 流程 的 用 户 体验 往往 非常 繁琐 而 且 容 易 产生 错误 ， 需 要 使 


Docker 化 发 布 特别 适用 于 BS 架构 的 产品 。 由 于 BS 产品 的 服务 器 端的 部 署 往往 受到 各 种 不 定 因素 (系统 版 本 ， 依 赖 关 系 ) 的 影响 ， 所 以 
者 去 解决 各 种 部 署 环境 中 的 问题 。 


过 程 中 ， 仍 然 会 遇 到 一 些 部 署 上 的 问题 需要 处 理 。 如 果 使 


例如 ，WordPress 这 种 主流 的 CMS 系统 ， 尽 管 WordPress 的 安装 流程 已 经 极 尽 简 化 ， 并 以 图 形 化 界面 的 形式 进行 安装 。 但 是 笔者 在 使 
Docker 发 布 WordPress (即使 用 官方 镜像 ) ， 确 实 可 以 做 到 一 句 命令 即 可 安装 到 位 ， 而 且 安装 过 程 是 绝对 统一 的 ， 环 境 也 是 绝对 纯净 的 。 


笔者 相信 Docker 这 种 无 痛 部 署 的 方式 ， 会 随 着 Docker 逐 渐 成 为 云 计算 平台 (或 者 说 PaaS) 的 标 配 ， 而 进入 各 种 BS 架构 产品 的 发 布 流程 中 。 


17.3 ”中 小 型 企业 实践 之 道 


17.3.1 开发 、 测 试 和 发 布 中 应 用 Docker 


测试 。 运 维 把 应 用 部 署 到 测试 环境 ， 开 发 团队 进行 测试 ， 没 问 


= 
E 
Ji 
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在 传统 模式 中 ， 开 发 团队 在 开发 环境 中 完成 软件 开发 ， 自 己 做 了 一 遍 单元 测试 ， 测 试 通过 ， 提 交 到 代码 版 本 管理 库 ， 打 包 给 开发 团 
题 后 通知 部 署 人 员 发 布 到 生产 环境 。 


自 测 没 问题 ， 但 到 了 测试 或 者 生产 环境 程序 无 法 运行 ， 让 开发 团队 排查 ， 经 过 长 时 间 排 查 最 后 发 现 是 测试 环境 的 一 个 第 三 


在 上 述 过 程 中 涉及 到 至 少 三 个 环境 : 开发 、 测 试 和 生产 。 现 实情 况 是 ， 开 发 
库 过 时 了 。 这 样 的 现象 在 软件 开发 中 很 普遍 ， 已 经 不 适用 如 今 的 快速 开发 和 部 署 。 


在 Docker 模 式 中 ， 应 用 是 以 容器 的 形式 存在 ， 所 有 和 该 应 用 相关 的 依赖 都 会 在 容器 中 ， 因 此 移植 非常 方便 ， 不 会 存在 像 传统 模式 那样 的 环境 不 一 致 。 图 17-1 比 较 了 两 种 模式 下 的 不 同 流程 。 


图 17-1 两 种 开发 模式 下 的 不 同 流程 的 比较 


1 .场景 示例 


我 们 假定 一 个 场景 ， 一 个 200 人 左右 的 软件 企业 ， 主 要 使 用 Java 作 为 开发 语言 ， 使 用 Tomcat、Weblogic 作 为 中 间 件 服务 器 ， 后 台数 据 库 使 用 Oracle、MySQL。 在 应 用 Docker 之 前 ， 开 发 到 测试 的 流程 
如 图 17-2 所 示 。 


测试 部 门 的 服务 器 和 生产 环境 不 一 样 ， 
测试 部 门 做 了 的 工作 ， 到 了 运 维 部 门 
义 得 重新 做 一 次 。 


MI java 类 一 下 开发 完了 ， 
& OK ， 赶 紧 push 下 回 家 。 


测试 部 服务 器 生产 服务 器 
nginx nginx 
tomact/weblogic tomact/weblogic 
mysql/oracle mysql/oracle 


图 17-2 ”传统 的 开发 流程 


可 见 因为 环境 的 不 一 样 ， 开 发 、 测 试 、 运 维 三 个 部 门 做 了 很 多 重复 的 工作 。 


而 Docker 正 好 可 以 解决 这 个 问题 ， 如 图 17-3 所 示 。 


项 目 架构 师 


Dockerfile 
nginx 容器 
tomcat 容器 
mysql 容器 


开发 部 门 测试 部 门 运 维 部 门 


图 17-3 ”利用 Docker 环 境 开 发 的 流程 


2. 操 作 流程 


在 Docker 应 用 中 ， 项 目 架构 师 的 作用 贯穿 整个 开发 、 测 试 、 生 产 三 个 环节 。 


项 目 伊始 ， 架 构 师 根据 项 目 预期 创建 好 需要 的 基础 Base 镜 像 、Nginx、Tomcat、MySQL 镜 像 或 者 将 Dockerfile 分 发 给 所 有 开发 人 员 ， 所 有 开发 人 员 根据 Dockerfile 创 建 的 容器 或 者 从 内 部 仓库 下 载 的 镜 
像 来 进行 开发 ， 达 到 开发 环境 的 充分 一 致 。 若 开发 过 程 中 需要 添加 的 新 的 软件 ， 只 需要 向 架构 师 申 请 修改 基础 的 base 镜 像 的 Dockerfile 即 可 。 


开发 任务 结束 后 ， 架 构 师 调整 Dockerfile 或 者 image， 然 后 分 发 给 测试 部 门 ， 测 试 部 门 马 上 就 可 以 进行 测试 ， 消 除了 部 署 困 难 等 等 难 缠 的 问题 。 


3 .注意 事 项 


使 用 -v 共 享 文件 夹 来 存储 开发 人 员 的 程序 代码 。 


利用 好 基础 的 base 镜 像 的 继承 特性 来 调整 镜像 的 轻微 改动 ， 比 如 当 需 要 测试 程序 对 不 同 版 本 的 jdk 的 支持 情况 时 ， 只 需 改变 base 镜 像 的 dk 设置 ， 然 后 其 他 依赖 它 的 镜像 在 重新 创建 的 过 程 中 就 可 以 全 部 
完成 转换 。 


测试 部 门 应 当 对 Docker 版 本 的 程序 和 部 署 在 普通 服务 器 上 的 应 用 程序 进行 性 能 上 的 测试 。 


17.3.2 ”应 用 Docker 到 生产 环境 


目前 在 生产 环境 上 使 用 Docker 的 企业 已 经 不 在 少数 ， 比 较 有 名 的 就 是 百度 BAE。 


对 于 是 否 要 在 生产 环境 中 使 用 Docker， 笔 者 也 是 刚刚 在 生产 环境 中 使 用 Docker 不 到 半年 ， 在 这 里 仅 提 供 一 些 建议 供 大 家 参考 : 


1) 如 果 Docker 出 现 不 可 控 的 风险 ， 是 否 考虑 了 其 他 的 解决 方案 。 


2) 是 否 需要 对 Docker 容 器 做 资源 限制 ， 以 及 如 何 限制 ， 如 CPU、 内 存 、 网 络 、 磁 盘 等 等 。 


3) 目前 ，Docker 对 容器 的 安全 管理 做 得 不 够 完善 ， 在 应 用 到 生产 环境 之 前 可 以 使 用 第 三 方 工具 来 加 强 容器 的 安全 管理 。 如 使 用 apparmor 对 容器 的 能 力 进行 限制 、 使 用 更 加 严格 的 iptables 规 则 、 禁 止 
root 用 户 登 录 、 限 制 普通 用 户 权限 以 及 做 好 系统 日 志 的 记录 。 


公司 内 部 私有 仓库 的 管理 ， 镜 像 的 管理 问题 是 否 解决 。 目 前 官方 提供 的 私有 仓库 管理 工具 功能 并 不 十 分 完善 ， 若 在 生产 环境 中 使 用 还 需要 更 多 的 完善 ， 由 于 国内 用 户 连 接 官方 源 的 网 络 不 是 十 分 稳 
定 ， 所 以 这 个 问题 需要 在 上 线 前 想 好 解决 办 法 。 


EN 


本 书 的 第 三 部 分 也 会 针对 这 些 问题 介绍 一 些 目前 比较 流行 的 解决 方案 。 


174 ”本 章 小 结 


本 章 主要 介绍 Docker 在 个 人 学 习 ， 技 术 创 业 和 中 小 型 企业 生产 环境 中 的 实践 之 道 。 在 个 人 学 习 和 技术 创业 部 分 ， 笔 者 从 实践 出 发 ， 同 时 基于 Docker 的 特性 和 设计 理念 ， 给 读者 提供 了 一 些 Docker 的 创 
新 用 法 。 在 中 小 型 企业 实践 部 分 ， 笔 者 从 企业 生产 环境 出 发 ， 通 过 实际 案例 讲解 Docker 在 标准 化 开发 、 测 试 、 生 产 环境 中 的 使 用 。 


第 三 部 分 “高 级 话题 


- 第 18 章 Docker 核 心 技术 


- B19% Dockerz & 


“ 第 20 章 高 级 网 络 配置 


: 第 21 章 Dockerfü * H 


经 过 前 两 部 分 的 讲解 和 实践 ， 相 信 读 者 已 经 比较 深入 地 了 解 了 Docker 的 设计 理念 与 应 用 操作 。 那 么 ，Docker 是 如 何 实现 的 ? 它 目 前 有 何 问题 ” 它 的 技术 生态 环境 是 否 已 经 成 长 起 来 了 ? 接 下 来 ， 笔 者 
将 在 第 三 部 分 介绍 Docker 的 相关 高 级 话题 。 


第 18 章 将 介绍 Docker 的 核心 实现 技术 ， 包 括 架构 、 命 名 空间 、 控 制 组 、 联 合 文件 系统 、 虚 拟 网 络 等 技术 话题 。 


第 19 章 将 从 命名 空间 、 控 制 组 、 内 核能 力 、 服 务 端 等 角度 来 剖析 Docker 目 前 保障 安全 的 相关 手段 。 


第 20 章 将 具体 讲解 Docker 使 用 网 络 的 一 些 高 级 配置 等 ， 并 分 析 底层 实现 的 技术 过 程 。 


最 后 ， 在 第 21 章 笔者 还 将 介绍 Docker 周 边 相关 项 目的 进展 情况 ， 包 括 平台 及 服务 应 用 、 持 续集 成 、 容 器 管理 和 编程 开发 等 。 


第 18 章 ”Docker 核 心 技 术 


Docker 归 根 到 底 是 一 种 容器 虚拟 化 技术 。 


早期 版 本 Docker 的 底层 是 基于 成 熟 的 Linux Container (LXC) 技术 实现 的 。 自 Docker 0.9 版 本 起 ，Docker 除 了 继续 支持 LXC 格 式 之 外 ， 还 开始 引入 自家 的 
libcontainer (https://github.com/docker/libcontainer) ， 试 图 打造 更 通用 的 底层 容器 虚拟 化 库 。 


从 操作 系统 功能 上 看 ，Docker 底 层 依赖 的 核心 技术 主要 包括 Linux 操 作 系 统 的 命名 空间 (Namespaces) 、 控 制 组 (Control Groups) 、 联 合 文件 系统 (Union File Systems) 和 Linux 虚 拟 网 络 支持 。 
本 章 将 介绍 这 些 基本 概念 。 


181 ”基本 架构 


Docker 采 用 了 标准 的 C/S 架 构 ， 包 括 客户 端 和 服务 端 两 大 部 分 。 


客户 端 和 服务 端 既 可 以 运行 在 一 个 机 器 上 ， 也 可 通过 socket 或 者 RESTful APl 来 进行 通信 ， 如 图 18-1 所 示 。 


$ docker pull 


vij docker si 
Docker 服务 端 en seme deese Docker $P im 


ro 


图 18-1 Docker 基 本 架构 
1. 服 务 端 


Docker daemon 一 般 在 宿主 主机 后 台 运行 ， 作 为 服务 端 接受 来 自 客户 的 请 求 ， 并 处 理 这 些 请 求 (创建 、 运 行 、 分 发 容器 ) 。 在 设计 上 ，Docker daemon 是 一 个 非常 松 耦合 的 架构 ， 通 过 专门 的 Engine 
模块 来 分 发 管理 各 个 来 自 客户 端的 任务 。 


Docker 服 务 端 默认 监听 本 地 的 unix:///var/run/docker.sock 套 接 字 ， 只 允许 本 地 的 root 用 户 访问 。 可 以 通过 -H 选 项 来 修改 监听 的 方式 。 例 如 ， 让 服务 端 监 听 本 地 的 TCP 连 接 1234 端 


$ sudo docker -H 0.0.0.0:1234 -d & 

2014/11/02 14:30:32 docker daemon: 1.3.0 c78088f; execdriver: native; graphdriver: 

[9£3e8962] +job serveapi (tcp://0.0.0.0:1234) 

[9£3e8962] +job initserver() 

[9£3e8962.initserver()] Creating server 

2014/11/02 14:30:32 Listening for HTTP on tcp (0.0.0.0:1234) 

2014/11/02 14:30:32 /!\ DON'T BIND ON ANOTHER IP ADDRESS THAN 127.0.0.1 IF YOU DON'T KNOW WHAT YOU'RE DOING /!\ 
[9£3e8962] +job init networkdriver() 

[9£3e8962] -job init networkdriver() = OK (0) 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


此 外 ，Docker 还 支持 通过 HTTPS 认 证 方式 来 验证 访问 。 
XE: Ubuntu 系 统 中 ，Docker 服 务 端的 默认 启动 配置 文件 在 /etc/default/docker。 


2. 客 户 端 


Docker 客 户 端 则 为 用 户 提供 一 系列 可 执行 命令 ， 用 户 用 这 些 命令 实现 与 Docker daemon 的 交互 。 


户 使 用 的 Docker 可 执行 命令 即 为 客户 端 程序 。 与 Docker daemon 不 同 的 是 ， 客 户 端 发 送 命令 后 ， 等 待 服务 端 返 回 ， 一 旦 收 到 返回 后 ， 客 户 端 立刻 执行 结束 并 退出 。 执行 新 的 命令 ， 需 要 再 次 调 


同样 ， 客 户 端 默认 通过 本 地 的 unix///varrun/docker.sock 套 接 字 向 服务 端 发 送 命令 。 如 果 服 务 端 没有 监听 到 默认 套 接 字 ， 则 需要 客户 端 在 执行 命令 的 时 候 显 式 指定 。 例 如 ， 假 定 服务 端 监听 在 本 地 的 
TCP 连 接 1234 端 口 ， 只 有 通过 -H 参 数 指定 了 正确 的 信息 才能 连接 到 服务 端 : 


$ sudo docker version 

Client version: 1.3.0 

Client API version: 1.15 

Go version (client): gol.3.3 

Git commit (client): c78088f 

2014/11/02 14:30:39 Cannot connect to the Docker daemon. Is 'docker -d' running on this host? 
$ sudo docker -H tcp://127.0.0.1:1234 version 
Client version: 1.3.0 

Client API version: 1.15 

Go version (client): gol.3.3 

Git commit (client): c78088f 

OS/Arch (client): linux/amd64 

Server version: 1.3.0 

Server API version: 1.15 

Go version (server): gol.3.3 

Git commit (server): c78088f 


182 命名 空间 


命名 空间 (Namespace) 是 Linux 内 核 针对 实现 容器 虚拟 化 而 引入 的 一 个 强大 特性 。 


每 个 容器 都 可 以 拥有 自己 单独 的 命名 空间 ， 运 行 在 其 中 的 应 用 都 像 是 在 独立 的 操作 系统 中 运行 一 样 。 命 名 空间 保证 了 容器 之 间 彼 此 互 不 影响 。 


我 们 知道 ， 在 操作 系统 中 ， 包 括 内 核 、 文 件 系统 、 网 络 、PID、UID、IPC、 内 存 、 硬 盘 、CPU 等 资源 ， 所 有 的 资源 都 是 应 用 进程 直接 共享 的 。 要 想 实现 虚拟 化 ， 除 了 要 实现 对 内 存 、CPU、 网 络 IO、 硬 
盘 IO、 存 储 空间 等 的 限制 外 ， 还 要 实现 文件 系统 、 网 络 、PID、UID、1PC 等 等 的 相互 隔离 。 前 者 相对 容易 实现 一 些 ， 后 者 则 需要 宿主 主机 系统 的 深入 支持 。 


随 着 Linux 系 统 对 于 命名 空间 功能 的 逐步 完善 ，Linux 软 件 工程 师 已 经 可 以 实现 上 文 所 述 的 所 有 需求 ， 让 某 些 进程 在 彼此 隔离 的 命名 空间 中 运行 。 虽 然 ， 这 些 进程 都 共用 一 个 内 核 和 某 些 运行 时 环境 
(runtime， 例 如 一 些 系统 命令 和 系统 库 ) ， 但 是 彼此 是 不 可 见 的 一 一 它们 都 认为 自己 是 独占 系统 的 。 


Linux 通 过 命名 空间 管理 进程 号 ， 对 于 同一 进程 (同一 个 task_struct) ， 在 不 同 的 命名 空间 中 ， 看 到 的 进程 号 不 相同 ， 每 个 进程 命名 空间 有 一 套 自己 的 进程 号 管理 方法 。 进 程 命名 空间 是 一 个 父子 关系 的 
结构 ， 子 空间 中 的 进程 对 于 父 空间 是 可 见 的 。 新 fork 出 的 进程 在 父 命名 空间 和 子 命名 空间 将 分 别 有 一 个 进程 号 来 对 应 。 


例如 ， 查 看 Docker 主 进程 的 pid 进 程 号 是 5989: 


$ ps -ef |grep docker 
root 5989 5988 0 14:38 pts/6 00:00:00 docker -d 


新 建 一 个 Ubuntu 的 “hello world" 容器 : 


$ sudo docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; done" 

2014/11/02 14:42:15 POST /v1.13/containers/create 

[c5fe8ac9] +job create() 

[error] mount.go:11 [warning]: couldn't run auplink before unmount: exec: "auplink": executable file not found in $PATH 
[c5fe8ac9] -job create() = OK (0) 

ec559327152b5b£9930£80598ed3a3b62023844c7fdbea3f8caed4ffa5c62e86 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


查看 新 建 容器 进程 的 父 进程 ， 正 是 Docker 主 进程 5989: 


$ ps -ef |grep while 
root 6126 5989 0 14:41 ?00:00:00 /bin/sh -c while true; do echo hello world; sleep 1; done 


2. 网 络 命名 空间 


如 果 有 了 PID 命 名 空间 ， 那 么 每 个 名 字 空 间 中 的 进程 就 可 以 相互 隔离 ， 但 是 网 络 端 口 还 是 共享 本 地 系统 的 端口 。 


通过 网 络 命名 空间 ， 可 以 实现 网 络 隔离 。 一 个 网 络 命名 空间 为 进程 提供 了 一 个 完全 独立 的 网 络 协议 栈 的 视图 。 包 括 网 络 设备 接口 、IPv4 和 1Pv6 协 议 栈 、IP 路 由 表 、 防 火 墙 规 则 ，sockets 等 等 。 这 样 每 个 
容器 的 网 络 就 能 隔离 开 来 。Docker 采 用 虚拟 网 络 设备 (Virtual Network Device) 的 方式 ， 将 不 同 命名 空间 的 网 络 设备 连接 到 一 起 。 默 认 情况 下 ， 容 器 中 的 虚拟 网 卡 将 同 本 地 主机 上 的 docker0 网 桥 连 接 在 
一 起 。 如 图 18-2 所 示 。 


D 


使 用 brctl 工 具 ， 则 可 以 看 到 桥接 到 宿主 主机 docker0 网 桥 上 的 虚拟 网 


图 18-2 Docker 使 用 了 网 络 命名 空间 


$ brctl show 


bridge name bridge id STP enabled interfaces 
docker0 8000.56847afe9799 no veth4148 
vethdl66 
vethd533 


3.IPC 命 名 空间 


容器 中 进程 交互 还 是 采 
IPC 名 字 空 间 内 的 进程 可 以 彼 


4. 挂 载 命 名 空间 


了 Linux 常 见 的 进程 间 交 互 方法 (Interprocess Communication-IPC) ， 包 括 信号 量 、 消 息 队列 和 共享 内 存 等 。PID 命 名 空间 和 IPC 命 名 空间 可 以 组 合 起 来 一 起 使 用 


可 见 ， 人 允许 进行 交互 ; 不 同 空间 的 进程 则 无 法 交互 。 


类 似 chroot， 将 一 个 进程 放 到 一 个 特定 的 目录 执行 。 挂 载 命名 空间 允许 不 同 命名 空间 的 进程 看 到 的 文件 结构 不 同 ， 这 样 每 个 命名 空间 中 的 进程 所 看 到 的 文件 目录 彼此 被 隔离 。 


5.UTS 命 名 空间 


, [I— 


UTS (UNIX Time-sharing System) 命名 空间 允许 每 个 容器 拥有 独立 的 主机 名 和 域名 ， 从 而 可 以 虚拟 出 一 个 有 独立 主机 名 和 网 络 空间 的 环境 ， 就 跟 网 络 上 一 台独 立 的 主机 一 样 。 


默认 情况 下 ，Docker 容 器 的 主机 名 就 是 返回 的 容器 ID : 


$ sudo docker ps 
2014/11/02 15:00:29 GET /v1.13/containers/json 
[c5fe8ac9] +job containers () 


[c5fe8ac9] -job containers() = OK (0) 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ec559327572b 127.0.0.1:5000/ubuntu:latest /bin/sh -c 'while tr 18 minutes ago Up 18 minutes furious goodall 


$ docker inspect -f ((".Config.Hostname")]] ec5 
2014/11/02 15:30:56 GET /v1.13/containers/ec5/json 
[c5fe8ac9] +job container inspect (ec5) 

[c5fe8ac9] -job container inspect (ec5) = OK (0) 
ec559327572b E 


6. 用 户 命名 空间 


每 个 容器 可 以 有 不 同 的 用 户 和 组 id， 也 就 是 说 可 以 在 容器 内 使 用 特定 的 内 部 用 户 执行 程序 ， 而 非 本 地 系统 上 存在 的 用 户 。 


每 个 容器 内 部 都 可 以 有 root 帐 号 ， 跟 宿主 主机 不 在 一 个 命名 空间 。 


18.3 ”控制 组 


控制 组 (CGroups) 是 Linux 内 核 的 一 个 特性 ， 主 要 用 来 对 共享 资源 进行 隔离 、 限 制 、 审 计 等 。 只 有 能 控制 分 配 到 容器 的 资源 ，Docker 才 能 避免 多 个 容器 同时 运行 时 的 系统 资源 竞争 。 


控制 组 技术 最 早 是 由 Google 的 程序 员 2006 年 提出 ，Linux 内 核 自 2.6.24 开 始 支持 。 


控制 组 可 以 提供 对 容器 的 内 存 、CPU、 磁 盘 |O 等 资源 进行 限制 和 计 费 管理 。 


控制 组 的 设计 目标 是 为 不 同 的 应 用 情况 提供 统一 的 接口 ， 从 控制 单一 进程 (比如 nice 工 具 ) 到 系统 级 虚拟 化 (包括 OpenVZ、Linux-VServer、LXC 等 ) 。 


具体 来 看 ， 控 制 组 提供 如 下 功能 : 


资源 限制 (Resource Limiting) ”组 可 以 设置 为 不 超过 设 定 的 内 存 限制 。 比 如 : 内 存 子 系统 可 以 为 进程 组 设 定 一 个 内 存 使 用 上 限 ， 一 旦 进程 组 使 用 的 内 存 达 到 限额 再 申请 内 存 ， 就 会 出 发 Out of Memory 


“优先 级 (Prioritization) ”通过 优先 级 让 一 些 组 优先 得 到 更 多 的 CPU 等 资源 。 
: 资源 审计 (Accounting) ”用 来 统计 系统 实际 上 把 多 少 资源 用 到 适合 的 目的 上 ， 可 以 使 用 cpuacct 子 系统 记录 某 个 进程 组 使 用 的 CPU 时 间 。 
: 隔离 (Isolation) ”为 组 隔离 名 字 空间 ， 这 样 一 个 组 不 会 看 到 另 一 个 组 的 进程 、 网 络 连接 和 文件 系统 。 


“控制 (Control) — 挂 起 、 恢 复 和 重启 动 等 操作 。 


安装 Docker 后 ， 用 户 可 以 在 /sys/fs/cgroup/memory/docker/ 目 录 下 看 到 对 Docker 组 应 用 的 各 种 限制 项 ， 包 括 : 


$ cd /sys/fs/cgroup/memory/docker 

$ 1s 

42352bb6c1dlc5c411be8fa04e97842da87d14623495189c4d865dfc444dl2ae memory.numa stat 
89a5c51c6d94a28dad4bb742662e15c99a0b4232ade7261df37aff3899b594490 memory.oom control 


cgroup.clone children memory.pressure level 
cgroup.event control memory.soft limit in bytes 
cgroup.procs memory.stat 

memory.failcnt memory.swappiness 
memory.force empty memory.usage in bytes 
memory.limit in bytes memory.use hierarchy 
memory.max usage in bytes notify on release 
memory.move charge at immigrate 

tasks E PI 


可 以 通过 修改 这 些 文件 值 来 控制 组 限制 Docker 应 用 资源 。 例 如 ， 通 过 下 面 的 命令 可 限制 Docker 组 中 的 所 有 进程 使 用 的 物理 内 存 总 量 不 超过 100MB: 


$ sudo echo 104857600 »/sys/fs/cgroup/memory/docker/memory.limit in bytes 


进入 对 应 的 容器 文件 夹 ， 可 以 看 到 对 应 容器 的 一 些 状态 : 


$ cd 42352bb6cldlc5c411be8fa04e97842da87d14623495189c4d865dfc444d12ae/ 


$ 1s 

cgroup.clone children  memory.max usage in bytes memory.stat 
cgroup.event control memory.move charge at immigrate  memory.swappiness 
Cgroup.procs memory.numa stat memory.usage in bytes 
memory.failcnt memory.oom control memory.use hierarchy 
memory.force empty memory.pressure level notify on release 
memory.limit in bytes memory.soft limit in bytes tasks 


$ cat memory.stat 

cache 110592 

rss 107286528 

rss huge 16777216 

mapped file 0 

writeback 0 

pgpgin 74766 

pgpgout 52634 

pgfault 115722 
pgmajfault 0 

inactive anon 12288 
active anon 107384832 
inactive file 0 

active file 0 
unevictable 0 
hierarchical memory limit 18446744073709551615 
total cache 110592 

total rss 107286528 
total rss huge 16777216 
total mapped file 0 

total writeback 0 

total pgpgin 74766 

total pgpgout 52634 
total pgfault 115722 
total pgmajfault 0 

total inactive anon 12288 
total active anon 107384832 


total inactive file 0 
total active file 0 
total unevictable 0 


在 开发 容器 工具 时 ， 往 往 需 


一 些 容器 运行 状态 数据 ， 这 时 就 可 以 从 这 里 得 到 更 多 的 信息 


蕊 ”可 以 在 创建 或 启动 容器 时 候 为 每 个 容器 指定 资源 的 限制 ， 


例如 使 用 -c|--cpu-shares[=0] 参 数 来 调整 容器 使 用 CPU 的 权重 ; 使 用 -m|--memory[=MEMORY] 参 数 来 调整 容器 使 用 内 存 的 大 


联合 文件 系统 (UnionFS) 是 一 种 轻 量 级 的 高 性 能 分 


层 文件 系统 ， 它 支持 将 文件 系统 中 的 修改 信息 作为 一 次 提交 ， 并 


联合 文件 系统 是 实现 Docker 镜 像 的 技术 基础 。 镜 像 可 以 通过 分 层 来 进行 继承 。 例 如 ， 用 户 基于 基础 镜像 (没有 父 镜像 的 镜像 被 称 为 基础 镜像 ) 来 制作 各 种 不 同 的 应 
像 层 ， 提 高 了 存储 效率 。 此 外 ， 当 用 户 改变 了 一 个 Docker 镜 像 (比如 升级 程序 到 新 的 版 本 ) ， 则 一 个 新 的 层 (layer) 会 被 创建 。 因 此 ， 用 户 不 
分 发 镜像 的 时 候 ， 也 只 需要 分 发 被 改动 的 新 层 内 容 ( 增 量 部 分 ) 。 这 让 Docker 的 镜像 管理 变 得 十 分 轻 量 级 和 快速 。 


ES 


， 同 时 可 以 将 不 同 目录 挂 载 到 同一 个 虚拟 文件 系统 下 。 


镜像 。 这 些 镜像 共享 同一 个 基础 镜 


替换 整个 原 镜像 或 者 重新 建立 ， 只 需要 添加 新 层 即 可 。 用 户 


Docker 中 使 用 的 AUFS (Another Union Fi 


e System， 或 v2 版 本 往 后 
SERIE (readonly) 


后 的 Advanced Multi-layered Unification File System) 就 是 一 种 联合 文件 系统 。AUFS 支 持 为 每 一 个 成 员 


员 目 录 (类 似 Git 的 分 支 
SH (whiteout-able) 权限 ， 同 时 AUFS 里 有 一 个 类 似 分 层 的 概念 ， 对 只 读 权限 的 分 支 可 以 逻辑 上 进行 增 量 地 修改 (不 影响 只 读 部 分 ) 


uc 


、 读 写 (readwrite) 和 


当 Docker 利 


镜像 启动 一 个 容器 时 ， 将 利 


镜像 分 配 文 件 系统 并 且 挂 载 一 个 新 的 可 读 写 的 层 给 容 


器， 容器 会 在 这 个 文件 系统 中 创建 ， 并 


这 个 可 读 写 的 层 被 添加 到 镜像 中 。 如 图 18-3 所 示 。 


图 18-3 ”联合 文件 系统 


Docker 


前 支持 的 联合 文件 系统 种 类 包括 AUFS、btrfs、vfs 和 DeviceMapper 等 


18.5 ”Docker 网 络 实现 


Docker 的 网 络 实现 其 实 就 是 利用 了 Linux 上 的 网 络 命名 空间 和 虚拟 网 络 设备 (特别 是 veth pair) 。 熟 悉 这 两 部 分 的 基本 概念 ， 可 以 有 助 于 理解 Docker 网 络 的 实现 过 程 。 


1. 基 本 原理 


直观 上 看 ， 要 实现 网 络 通 信 ， 机 器 需要 至 少 一 个 网 络 接口 (物理 接口 或 虚拟 接口 ) 与 外 界 相通 ， 并 可 以 收发 数据 包 ; 此 外 ， 如 果 不 同 子 网 之 间 要 进行 通信 ， 需 要 额外 的 路 由 机 制 。 


Docker 中 的 网 络 接口 默认 都 是 虚拟 的 接口 。 虚 拟 接口 的 最 大 优势 就 是 转发 效率 极 高 。 这 是 因为 Linux 通 过 在 内 核 中 进行 数据 复制 来 实现 虚拟 接口 之 间 的 数据 转发 ， 即 发 送 接口 的 发 送 缓存 中 的 数据 包 将 
被 直接 复制 到 接收 接口 的 接收 缓存 中 ， 而 无 需 通过 外 部 物理 网 络 设备 进行 交换 。 对 于 本 地 系统 和 容器 内 系统 来 看 ， 虚 拟 接口 跟 一 个 正常 的 以 太 网 卡 相 比 并 无 区 别 ， 只 是 它 速度 要 快 得 多 。 


Docker 容 器 网 络 就 很 好 地 利用 了 Linux 虚 拟 网 络 技术 。 它 在 本 地 主机 和 容器 内 分 别 创建 一 个 虚拟 接口 ， 并 让 它们 彼此 连通 (这样 的 一 对 接口 叫做 veth pair) 。 如 图 18-4 所 示 。 


PARA 容器 B CI le 
172.117.0.2 172.17.0.3 172.17.0.4 


网 桥 dockero 


物理 主机 
192.168.100.100 


图 18-4 Docket 的 网 络 实现 


2. 网 络 创建 过 程 


Docker 创 建 一 个 容器 的 时 候 ， 会 具体 执行 如 下 操作 : 


“ 创建 一 对 虚拟 接口 ， 分 别 放 到 本 地 主机 和 新 容器 的 命名 空间 中 。 
“ 本 地 主机 一 端的 虚拟 接口 连接 到 默认 的 docker0 网 桥 或 指定 网 桥 上 ， 并 具有 一 个 以 veth 开 头 的 唯一 名 字 ， 如 veth1234。 
“ 容器 一 端的 虚拟 接口 将 放 到 新 创建 的 容器 中 ， 并 修改 名 字 作 为 eth0。 这 个 接口 只 在 容器 的 命名 空间 可 见 。 


“ 从 网 桥 可 用 地 址 段 中 获取 一 个 空闲 地 址 分 配给 容器 的 eth0 (例如 172.17.0.2/16) ， 并 配置 默认 路 由 网 关 为 docker0 网 卡 的 内 部 接口 docker0 的 IP 地 址 (例如 172.17.42.1/16) o 


完成 这 些 之 后 ， 容 器 就 可 以 使 用 它 所 能 看 到 的 eth0 虚 拟 网 卡 来 连接 其 他 容器 和 访问 外 部 网 络 。 


另外 ， 可 以 在 docker 运 行 的 时 候 通 过 --net 参 数 来 指定 容器 的 网 络 配置 ， 有 4 个 可 选 值 bridge、host、container 和 none: 


“ --net=bridge: 默认 值 ， 在 Docker 网 桥 上 为 容器 创建 新 的 网 络 栈 。 


“ --net=host: 告诉 Docker 不 要 将 容器 网 络 放 到 隔离 的 命名 空间 中 ， 即 不 要 容器 化 容器 内 的 网 络 。 此 时 容器 使 用 本 地 主机 的 网 络 ， 它 拥有 完全 的 本 地 主机 接口 访问 权限 。 容 器 进程 可 以 跟 主机 其 他 root 进 
程 一 样 打开 低 范围 的 端口 ， 可 以 访问 本 地 网 络 服务 比如 D-bus， 还 可 以 让 容器 做 一 些 影响 整个 主机 系统 的 事情 ， 比 如 重启 主机 。 因 此 使 用 这 个 选项 的 时 候 要 非常 小 心 。 如 果 进一步 的 使 用 --privileged=true 参 
数 ， 容 器 甚至 会 被 允许 直接 配置 主机 的 网 络 堆栈 。 


“ -net-container: 让 Docket 将 新 建 容器 的 进程 放 到 一 个 已 存在 容器 的 网 络 栈 中 ， 新 容器 进程 有 自己 的 文件 系统 、 进 程 列表 和 资源 限制 ， 但 会 和 已 存在 的 容器 共享 IP 地 址 和 端口 等 网 络 资源 ， 两 者 进程 可 


以 直接 通过 lo 环 回 接口 通信 。 


: --net=none: 让 Docket 将 新 容器 放 到 隔离 的 网 络 栈 中 ， 但 是 不 进行 网 络 配置 。 之 后 ， 用 户 可 以 自己 进行 配置 。 


Ww 


.网 络 配置 细节 


户 使 用 --net=none 后 ，Docker 将 不 对 容器 网 络 进行 配置 。 下 面 ， 将 手动 完成 配置 网 络 的 整个 过 程 。 通 过 这 个 过 程 ， 可 以 了 解 到 Docker 配 置 网 络 的 更 多 细节 。 


首先 ， 启 动 一 个 /bin/bash 容 器 ， 指 定 --net=none 参 数 : 


$ sudo docker run -i -t --rm --net-none base /bin/bash 
root863f36fcOlb5f:/i 


在 本 地 主机 查找 容器 的 进程 id， 并 为 它 创建 网 络 命名 空间 : 


$ sudo docker inspect -f '{{.State.Pid}}' 63f£36fcO01b5f 
2778 


$ pid-2778 
$ sudo mkdir -p /var/run/netns 
$ sudo 1n -s /proc/$pid/ns/net /var/run/netns/$pid 


检查 桥接 网 卡 的 IP 和 子 网 掩 码 信息 : 


$ ip addr show docker0 

21: docker0: http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
inet 172.17.42.1/16 scope global dockerO T 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


创建 一 对 “veth pair" 接口 A 和 B， 绑 定 A 接 口 到 网 桥 docker0， 并 启用 它 : 


$ sudo ip link add A type veth peer name B 
$ sudo brctl addif docker0 A 
$ sudo ip link set A up 


将 B 接 口 放 到 容器 的 网 络 命名 空间 ， 命 名 为 eth0， 启 动 它 并 配置 一 个 可 用 IP (桥接 网 段 ) 和 默认 网 关 : 


sudo ip link set B netns $pid 

sudo ip netns exec $pid ip link set dev B name eth0 

sudo ip netns exec $pid ip link set eth0 ul 

sudo ip netns exec $pid ip addr add 172.17.42.99/16 dev ethO 
sudo ip netns exec $pid ip route add default via 172.17.42.1 


An An An An A 


以 上 就 是 Docker 配 置 网 络 的 具体 过 程 。 


当 容 器 终止 后 ，Docker 会 清空 容器 ， 容 器 内 的 网 络 接口 会 随 网 络 命名 空间 一 起 被 清除 ，A 接 口 也 被 自动 从 docker0 卸 载 并 清除 。 


此 外 ， 在 删除 /var/run/netns/ 下 的 内 容 之 前 ， 用 户 可 以 使 用 ip netns exec 命 令 在 指定 网 络 命名 空间 中 进行 配置 ， 从 而 影响 容器 内 的 网 络 。 


18.6 ”本章 小 结 


本 章 具体 剖析 了 Docker 实 现 的 一 些 核心 技术 ， 包 括 它 的 基本 架构 ， 以 及 所 依赖 的 Linux 操 作 系 统 中 的 命名 空间 、 控 制 组 、 联 合 文件 系统 、 虚 拟 网 络 支 持 等 。 


从 本 章 的 讲解 中 读者 可 以 看 到 ，Docker 的 优秀 特性 与 Linux 操 作 系 统 的 强大 、 特 别 是 与 Linux 上 成 熟 的 容器 技术 支持 是 分 不 开 的 。 在 实际 使 用 Docker 容 器 的 过 程 中 ， 还 将 涉及 如 何 调整 系统 配置 来 优化 
容器 性 能 ， 这 些 都 需要 有 丰富 的 Linux 系 统 运 维 知识 和 实践 经 验 。 


第 19 章 ”Docker 安 全 


Docker 是 在 Linux 操 作 系 统 层面 上 的 虚拟 化 实现 ， 运 行 在 容器 内 的 进程 ， 跟 运行 在 本 地 系统 中 的 进程 ， 本 质 上 并 无 区 别 ， 不 合适 的 安全 策略 将 可 能 给 本 地 系统 带 来 风险 。 因 此 ，Docker 的 安全 性 在 生产 
环境 中 是 十 分 关键 的 衡量 因素 。 


Docker 容 器 的 安全 性 ， 很 大 程度 上 其 实 依赖 于 Linux 系 统 自身 ， 因 此 在 评估 Docker 的 安全 性 时 ， 主 要 考虑 下 面 几 个 方 


“ Linux 内 核 的 命名 空间 机 制 提供 的 容器 隔离 安全 。 
“ Linux 控 制 组 机 制 对 容器 资源 的 控制 能 力 安全 。 

“ Linux 内 核 的 能 力 机 制 所 带 来 的 操作 权限 安全 。 

: Docker $ (特别 是 服务 端 ) 本 身 的 抗 攻击 性 。 


“ 其 他 安全 增强 机 制 (包括 AppArmor、SELinux 等 ) 对 容器 安全 性 的 影响 。 


19.1 命名 空间 隔离 的 安全 


Docker 容 器 和 LXC 容 器 在 实现 上 很 相似 ， 所 提供 的 安全 特性 也 基本 一 致 。 当 用 docker run 启 动 一 个 容器 时 ，Docker 将 在 后 台 为 容器 创建 一 个 独立 的 命名 空间 。 


命名 空间 提供 了 最 基础 也 是 最 直接 的 隔离 ， 在 容器 中 运行 的 进程 不 会 被 运行 在 本 地 主机 上 的 进程 和 其 他 容器 通过 正常 渠道 发 现 和 影响 。 


例如 ， 通 过 命名 空间 机 制 ， 每 个 容器 都 有 
置 ， 容 器 可 以 像 跟 主 机 交互 一 样 的 和 


自己 独 有 的 网 络 栈 ， 意 味 着 它们 不 能 访问 其 他 容器 的 套 接 字 (sockets) 或 接 
其 他 容器 交互 。 启 动容 器 时 ， 指 定 公共 端口 或 使 


从 网 络 架构 的 角度 来 看 ， 所 有 的 


容器 实际 上 是 通过 本 地 主机 的 网 桥接 [ 


(DockerO) 


那么 ，Linux 内 核 中 实现 命名 空间 (特别 是 网 络 命名 空间 ) 的 机 制 是 否 足够 成 熟 呢 ? 


Linux 内 核 从 2.6.15 版 本 (20088 


实际 上 ， 命 名 空间 的 想法 和 设计 


当然 ， 与 虚拟 机 方式 相 比 ， 


系统 中 的 软件 是 可 信 的 一 个 道理 


192 ”控制 组 资源 控制 的 安全 


控制 组 是 Linux 容 器 机 制 中 的 另外 一 个 关键 组 件 ， 


F7 月 发 布 ) 开始 引 


提出 的 时 间 要 更 


通过 命名 空间 来 实现 的 
) 


， 最 初 是 OpenV2 项 


连接 系统 ， 容 器 可 以 相互 通信 了 ( 


至 今 经 历 了 数 年 的 演化 和 改进 ， 并 应 上 
的 重要 特性 。OpenVZ 项 目 早 在 2005 年 就 已 经 正式 发 布 ， 其 设计 和 实现 更 诈 


电离 并 不 是 那么 绝对 。 运 行 在 容器 中 的 应 
， 否 则 本 地 系统 将 可 能 受到 威胁 。 实 际 上 ，Docker 


户 可 以 根据 配置 来 限制 通信 的 策略 ) 。 


进行 相互 通信 ， 就 像 物理 机 器 通过 物理 交换 机 通信 一 样 。 


于 诸多 大 型 生产 系统 中 。 


。 当 然 ， 容 器 默认 可 以 与 本 地 主机 网 络 连通 ， 如 果 主 机 系统 上 做 了 相应 的 交换 设 


可 以 直接 访问 系统 内 核 和 部 分 系统 文件 。 


因此 ， 


户 必须 保证 容器 中 应 


是 安全 可 信 的 (这 跟 保证 运行 在 


1.30 版 本 起 对 镜像 管理 引入 了 签名 系统 ， 用 户 可 以 通过 签名 来 验证 镜像 的 完整 性 和 正确 性 。 


它 负 责 实现 资源 的 审计 和 限制 。 当 上 


控制 组 机 制 始 于 2006 年 ，Linux 内 核 从 2.6.24 版 本 开始 被 引入 。 


它 提供 了 很 多 有 


尽管 控制 组 不 负责 隔离 容器 之 间 相 互 访问 、 处 理 数据 和 进程 ， 但 是 它 在 防止 拒绝 服务 攻击 (DDoS) 方面 是 必 不 可 少 的 。 尤 其 是 在 多 


如 ， 当 某 些 应 


19.3 内核 能力 机 制 


的 特性 ; 以 及 确保 各 个 容器 可 以 公平 地 分 享 3 


docker run 启 动 一 个 容器 时 ，Docker 将 在 后 台 为 容器 创建 一 个 独立 的 控制 组 策略 集合 。 


机 的 内 存 、CPU、 磁盘 1O 等 资源 ; HA, 88 


容器 出 现 异 常 的 时 候 ， 可 以 保证 本 地 系统 和 其 他 容器 正常 运行 而 不 受 影响 。 


要 的 是 ， 控 制 组 确保 了 当 发 生 在 容器 内 的 资源 压力 不 会 影响 到 本 地 主机 系统 和 其 他 容器 。 


户 的 平台 (比如 公有 或 私有 的 PaaS) 上 ， 控 制 组 十 分 重要 。 例 


能 力 机 制 (Capability) 是 Linux 内 核 一 个 强大 的 特性 ， 可 以 提供 细 粒 度 的 权限 访问 控制 。 传 统 的 Unix 系 统 对 进程 权限 只 有 根 权限 〈 用 户 id 为 0， 即 为 root 用 户 ) 和 非 根 权限 (用 户 非 root 用 户 ) 两 种 。 


Linux 内 核 


例如 ， 一 个 Web 服 务 进程 只 需要 绑 定 一 个 低 了 


默认 情况 下 ，Docker 启 动 的 容器 被 严格 限制 只 允许 使 


mknod、setfcap、audit_write 等 。 


使 


器 跟 这 些 进 程 是 不 同 的 ， 


因为 几 和 


“ssh 访问 被 宿主 主机 上 的 ssh 服 务 来 管理 。 


“ cron 通 常 应 该 作为 


“日 志 系 统 可 由 Docker 或 第 三 方 服务 管理 。 


F1024 的 端 


能 力 机 制 对 加 强 Docker 容 器 的 安全 性 有 很 多 好 处 。 通 常 ， 在 服务 器 上 会 运行 一 堆 需要 特权 权限 的 进程 ， 包 括 有 ssh、cron、syslogd、 硬 件 管理 工 : 
所 有 的 特权 进程 都 由 容器 以 外 的 支持 系统 来 进行 管理 。 


户 进程 执行 ， 权 限 交 给 使 用 它 服务 的 应 用 来 处 理 。 


“ 硬件 管理 无 关 紧要 ， 容 器 中 也 就 无 需 执 行 udevd 以 及 类 似 服务 。 


:网络 管理 也 都 在 主机 上 设置 ， 除 非特 殊 需 求 ， 容 器 不 需要 对 网 络 进行 配置 。 


从 上 面 的 例子 可 以 看 出 ， 大 部 分 情况 下 ， 容 器 并 不 需要 “真正 的 ”root 权 限 ， 容 器 只 需要 少数 的 能 力 即 可 。 为 了 加 强 安 


“ 完全 禁止 任何 文件 挂 载 操作 。 


“ 禁止 直接 访问 本 地 主机 的 套 接 字 。 


“ 禁止 访问 一 些 文件 系统 的 操作 ， 比 如 创建 新 的 设备 、 修 改 文 件 属性 等 。 


:禁止 模块 加 载 。 


这 样 ， 就 算 攻 击 者 在 容器 中 取得 了 root 权 限 ， 也 不 能 获得 本 地 3 


不 恰当 地 分 配 了 内 核能 力 ， 会 导致 容器 内 应 


统 的 任意 文件 目录 。 


默认 情况 下 ，Docker 采 


“ 白 名 单 ” 机 制 


19.4 ”Docker 服 务 端的 防护 


使 


Docker 容 器 的 核心 是 Docker 服 务 端 。 


首先 ， 必 须 确保 只 有 可 信 的 


获 


Ez 


E 


Docker 服 务 的 运行 目前 还 需要 root 权 


户 才 可 以 访问 到 Docker 服 务 。Docker 人 允许 用 户 在 


的 时 候 将 主机 的 根 目 录 / 映 射 到 容器 的 /host 


系统 到 虚拟 机 系统 。 


之 外 的 其 他 权限 。 当 然 ， 


2.2 版 本 起 支持 能 力 机 制 ， 它 将 权限 划分 为 更 加 细 粒 度 的 操作 能 力 ， 既 可 以 作用 在 进程 上 ， 也 可 以 作用 在 文件 上 。 


， 容 器 可 以 禁 


一 些 没 必 


的 权限 。 


E 机 的 较 高 权限 ， 能 进行 的 破坏 也 有 限 。 


户 也 可 以 根据 


身 需求 来 为 Docker 容 器 启用 额外 的 权限 。 


限 的 支持 ， 


因此 服务 端 安全 性 十 分 关键 。 


口 的 权限 ， 并 不 需要 完整 的 root 权 限 。 那 么 它 只 需要 被 授权 net_bind_service 能 力 即 可 。 此 外 ， 还 有 很 多 其 他 的 类 似 能 力 来 避免 进程 获取 root 权 


内 核 的 一 部 分 能 力 ， 包 括 chown、dac_override、fowner、Kkill、setgid、setuid、setpcap、net_bind service, net raw, sys chroot, 


模块 〈 例 如 负载 模块 ) 、 网 络 配置 工具 等 


m 


取 破 坏 本 地 系统 的 权限 。 例 如 ， 早 期 的 Docker 版 本 曾经 不 恰当 的 继承 CAP_DAC_READ_ SEARCH 能 力 ， 导 致 容器 内 进程 可 以 通过 系统 调用 访问 到 本 地 系 


机 和 容器 间 共 享 文件 来， 同时 不 需要 限制 容器 的 访问 权限 ， 这 就 容易 让 容器 突破 资源 限制 。 例 如 ， 恶 意 用 户 启动 容器 


录 中 ， 那 么 容器 理论 上 就 可 以 对 主机 的 文件 系统 进行 任意 修改 了 。 事 实 上 ， 几 乎 所 有 虚拟 化 系统 都 允许 类 似 的 资源 共享 ， 而 没 法 阻止 恶意 


户 共享 主机 根 文 件 


这 将 会 造成 很 严 


的 安全 后 果 。 


强 对 


户 使 


户 仍 可 以 利 


PRH 


最 近 改 进 的 Linux 命 名 空间 机 制 将 可 以 实现 使 有 
目前 ，Docker| 


- 将 容器 的 root 用 户 映射 到 本 地 主机 J 


RRIP. 


RAAR, DockerBJRESTAPI (客户 端 用 来 跟 服务 端 通信 的 接 
Unix 权 限 检 查 来 旋 


强 套 接 字 的 访问 安全 。 


非 root 


身 改进 安全 防护 的 


标 是 实现 以 下 两 个 重要 安全 特性 : 


O) 在 0.5.2 之 后 使 


此 ， 当 提供 容器 创建 服务 时 (例如 通过 一 个 web 服 务 器 ) ， 要 更 加 注意 进行 参数 的 安全 检查 ， 防 止 恶 意 的 


特定 参数 来 创建 一 些 破坏 性 的 容器 。 


HTTP 提 供 REST API 访 问 。 建 议 使 用 安全 机 制 ， 确 保 只 有 可 信 的 网 络 或 VPN 网 络 ， 或 证 书 保护 机 制 〈 例 如 受 保护 的 stunnel 和 ssl 认 证 ) 下 的 访问 可 以 进行 。 此 外 ， 还 可 以 使 有 


上 的 非 rtoot 用 户 ,减轻 容器 和 主机 之 间 因 权限 提升 而 引起 的 安全 问题 。 


本 地 的 Unix 套 接 字 机 制 蔡 代 了 原先 绑 定 在 127.0.0.1 上 的 TCP 套 接 字 ， 


因 


为 后 者 容易 遭受 跨 站 脚本 攻 


HTTPS 和 证 


户 来 运行 全 功能 的 容器 。 这 将 从 根本 上 解决 了 容器 和 主机 之 间 共 享 文件 系统 而 引起 的 安全 问题 。 


“ 允许 Docker 服 务 端 在 非 root 权 限 下 运行 ， 利 用 安全 可 靠 的 子 进 程 来 代理 执行 需要 特权 权限 的 操作 。 这 些 子 进程 将 只 允许 在 限定 范围 内 进行 操作 ， 例 如 仅仅 负责 虚拟 网 络 设 定 或 文件 系统 管理 、 配 置 操作 


19.5 


除了 能 力 机 制 之 外 ， 还 可 以 利 
Docker 当 前 默认 只 启 
- 在 内 核 中 启用 GRSEC 和 PAX， 这 将 增加 更 多 的 编译 
“ 使 用 一 些 有 增强 安全 
“ 用 户 可 以 自 定义 更 加 严格 的 访问 控制 机 制 


此 外 ， 在 将 文件 系统 挂 载 到 容器 内 部 时 候 ， 
/proc/irq、/proc/bus 等 等 。 这 样 ， 容 器 内 应 


19.6 


总 体 来 看 ， 基 于 Linux 上 成 熟 的 安全 机 制 以 及 Apparmor，SELinux，GRSEC 等 安全 机 制 ，Docker 容 器 还 是 比较 安全 的 ， 特 别 是 在 容器 内 不 使 
但 是 任何 技术 层面 实现 的 安全 都 需 


“ 在 使 用 Docker 容 器 运行 应 用 的 时 候 ， 一 定 要 牢记 容器 


其 他 安全 特性 


一 些 现 有 的 安全 软件 或 机 制 来 增强 使 


本 章 小 结 


f 


能 力 机 制 。 


PS 


来 定制 安全 策略 。 


户 合理 的 使 


才能 得 到 巩固 


， 在 使 


可 以 通过 配置 只 读 (read-only) 模式 来 避免 容器 内 的 应 
进程 可 以 获取 所 需要 的 系统 信息 ， 但 无 法 对 它们 进行 修改 。 


更 多 的 安全 方案 来 加 强 Docker 主 机 的 安全 ， 例 如 : 


Docker 的 安全 性 ， 例 如 TOMOYO，AppArmor，SELinux，GRSEC 等 。 


bp 运行 时 的 安全 检查 ; 并 且 通 过 地 址 随机 化 机 制 来 避免 恶意 探测 等 。 启 用 该 特性 不 需要 Docker 进 行 任何 配置 。 


竺 性 的 容器 模板 ， 比 如 带 AppArmor 的 模板 和 Redhat 带 SELinux 策 略 的 模板 。 这 些 模板 提供 了 额外 的 安全 特性 。 


通过 文件 系统 破坏 外 部 环境 ， 特 别 是 一 些 系统 运行 状态 相关 的 目录 ， 包 括 但 不 限于 /proc/sys、 


root 权 限 来 运行 进程 的 话 。 


Docker 过 程 中 ， 需 要 注意 如 下 几 方 面 : 


自身 所 提供 的 隔离 性 其 实 并 没有 那么 完善 ， 需 要 加 强 对 容器 内 应 用 的 安全 审查 。 容 器 即 应 用 ， 保 障 应 用 安全 的 各 种 手段 ， 都 应 该 进行 合理 地 利 


- 采用 专用 的 服务 器 来 运行 Docker 服 务 端 和 相关 的 管理 服务 (例如 管理 服务 比如 ssh 监 控 和 进程 监控 、 管 理工 具 ntpe、collectd 等 ) ， 并 对 该 服务 器 启用 最 高 级 别 的 安全 机 制 。 而 把 其 他 的 业务 服务 都 放 到 
容器 中 去 运行 。 


“ 将 运行 Docker 容 器 的 机 器 划分 为 不 同 的 组 ， 互 相信 任 的 机 器 放 到 同一 个 组 内 ; 组 之 间 进 行 安全 隔离 ; 同时 进行 定期 的 安全 检查 。 


“ 随 着 容器 大 规模 地 使 用 和 集成 ， 甚 至 组 成 容器 集群 。 需 要 考虑 在 容器 网 络 上 进行 必 备 的 安全 防护 ， 避 免 诸 如 DDoS、ARP 攻 击 、 规 则 表 攻击 等 网 络 安全 威胁 ， 这 也 是 生产 环境 需要 关注 的 重要 问题 。 


第 20 章 高 级 网 络 配 置 


本 章 将 介绍 Docker 的 一 些 关 于 网 络 的 高 级 知识 ， 包 括 网 络 的 启动 和 配置 参数 、DNS 的 使 


配置 、 


容器 访问 和 端 


映射 的 相关 实现 。 


接 下 来 ， 笔 者 将 介绍 在 一 些 场景 中 ，Docker 所 有 的 网 络 定制 配置 。 以 及 通过 Linux 命 令 来 调整 、 补 充 、 甚 至 替换 Docker 默 认 的 网 络 配置 。 


最 后 ， 将 介绍 关于 Docker 网 络 的 一 些 工 


20.1 


和 项 目 。 


网 络 启动 与 配置 参数 


1. 基 本 过 程 


Docker 启 动 时 会 在 主机 上 


同时 ，Docker 随 机 分 配 一 个 本 地 未 占 


一 网 段 (172.17.0.0/16) 的 地 址 。 


当 创 建 一 个 Docker 容 器 的 时 候 ， 同 时 会 创建 了 一 对 veth pair 接 口 
到 docker0 网 桥 ， 名 称 以 veth: 


1 所 示 。 


的 私有 网 段 (在 RFC1918 中 定义 ) 中 的 一 个 地 址 给 docker0 接 


口 。 比 如 典型 的 172.17.42.1， 掩 码 为 255.255.0.0。 此 后 启动 的 容器 内 的 网 


动 创建 一 个 docker0 虚 拟 网 桥 ， 实 际 上 是 一 个 Linux 网 桥 ， 可 以 理解 为 一 个 软件 交换 机 。 它 会 在 挂 载 其 上 的 接口 之 间 进 行 转发 。 


自动 分 配 一 个 同 


( 当 数 据 包 发 送 到 一 个 接口 


时 ， 另 外 一 个 接口 


也 可 以 收 到 相同 的 数据 包 ) 。 这 对 接口 一 端 在 容器 内 ， 即 eth0; 另 一 端 在 本 地 并 被 挂 载 


SL (例如 vethAQI2QT) 。 通 过 这 种 方式 ， 主 机 可 以 跟 容 器 通信 ， 容 器 之 间 也 可 以 相互 通信 。 如 此 一 来 ，Docker 就 创建 了 在 主机 和 所 有 容器 之 间 一 个 虚拟 共享 网 络 。 如 图 20- 


472.17 42.1/16 
和 宿主 主机 


图 20-1 Docker 中 的 网 络 
2. 网 络 相关 参数 


下 面 是 跟 Docker 网 络 相关 的 命令 参数 。 其 中 有 些 命令 选项 只 有 在 Docker 服 务 启动 的 时 候 才能 配置 ， 而 且 不 能 马上 生效 : 


: -b BRIDGE or--bridge=BRIDGE 一 一 指定 容器 挂 载 的 网 桥 。 
“ -bip=CIDR 一 一 定制 docker0 的 掩 码 。 


- -HSOCKEThttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15029/OEBPS/Text/...or--host=SOCKEThttp://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/15029/OEBPS/Text/... 一 一 Dockert 服 务 端 接 收 命令 的 通道 。 


* --icc=true| 便 se 一 一 是 否 支持 容器 之 间 进 行 通信 。 


* -ip-forward- true | false 启用 netipv4.ip forward， 即 打开 转发 功能 。 
* --iptables=true |false 一 一 禁止 Docker 添 加 iptables 规 则 。 
“ -mtu=BYTES 一 一 容器 网 络 中 的 MTU。 


下 面 两 个 命令 选项 既 可 以 在 启动 服务 时 指定 ， 也 可 以 Docker 容 器 启动 (docker run) 时 候 指定 。 在 Docker 服 务 启 动 的 时 候 指定 则 会 成 为 默认 值 ， 后 续 执 行 docker run 时 可 以 覆盖 设置 的 默认 值 : 


: -dns=IP_ADDRESShttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15029/OEBPS/Text/... 一 一 使 用 指定 的 DNS 服 务 器 。 


* -dns-search- DOMAINhttp:/ /www.hzcourse.com/resource/readBook?path7 /openresources/teach ebook /uncompressed/15029 /OEBPS/Text/... 指定 DNS 搜索 域 。 


最 后 这 些 选 项 只 能 在 docker run 执 行 时 使 用 ， 因 为 它 是 针对 容器 的 特性 内 容 : 


: -h HOSTNAME or-hostname=HOSTNAME 一 一 配置 容器 主机 名 。 

' -link=CONTAINER_NAME: ALIAS 一 一 添加 到 另 一 个 容器 的 连接 。 

* --net=bridge|none|container: NAME, or. ID|host 一 一 配置 容器 的 桥接 模式 。 
- -p SPEC or--publish=SPEC 一 一 映射 容器 端口 到 宿主 主机 。 


“ -P or--publish-all=true |false 一 一 映射 容器 所 有 端口 到 宿主 主机 。 


20.2 ”配置 容器 DNS 和 主机 名 


Docker 支 持 自 定义 容器 的 主机 名 和 DNS 配置 。 


1. 相 关 配 置 文件 


实际 上 ， 容 器 中 主机 名 和 DNS 配置 信息 都 是 通过 三 个 系统 配置 文件 来 维护 的 : /etc/resolv.conf、/etc/hostname 和 /etc/hosts。 


启动 一 个 容器 ， 在 容器 中 使 用 mount 命 令 可 以 看 到 这 三 个 文件 挂 载 信息 : 


$ sudo docker run -it ubuntu 

root875dbd6685305:/4 mount 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
/dev/mapper/ubuntu--vg-root on /etc/resolv.conf type ext4 (rw, relatime,errors-remount-ro, data-ordered) 
/dev/mapper/ubuntu--vg-root on /etc/hostname type ext4 (rw,relatime, errors-remount-ro, data-ordered) 
/dev/mapper/ubuntu--vg-root on /etc/hosts type ext4 (rw,relatime,errors-remount-ro, data-ordered) 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


其 中 ，/etc/resolv.conf 文 件 在 创建 容器 时 候 ， 默 认 会 与 宿主 机 /etc/resolv.conf 文 件 内 容 保持 一 致 : 


root875dbd6685305:/4 cat /etc/resolv.conf 

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf (8) 
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN 
nameserver 8.8.8.8 

search dockerpool.com 


/etc/hosts 文 件 中 默认 只 记录 了 容器 自身 的 一 些 地 址 和 名 称 : 


root875dbd6685305:/4 cat /etc/hosts 
172.17.0.2 75dbd6685305 

HN localhost ip6-localhost ip6-loopback 
fe00::0 ip6-localnet 

ff00::0 ip6-mcastprefix 

ff02::1 ip6-allnodes 

££02; :2 ip6-allrouters 

127.0.0.1 localhost 


/etc/hostname 文 件 则 记录 了 容器 的 主机 名 : 


root675dbd6685305:/4 cat /etc/hostname 
75dbd6685305 


2. 容 器 内 修改 配置 文件 


Docker 1.2.0 开 始 支持 在 运行 中 的 容器 里 直接 编辑 /etc/hosts，/etc/hostname 和 /etc/resolve.conf 文 件 。 


但 是 这 些 修改 是 临时 的 ， 只 在 运行 的 容器 中 保留 ， 容 器 终止 或 重启 后 并 不 会 被 保存 下 来 。 也 不 会 被 docker commit 提 交 。 


3. 通 过 参数 指定 


如 果 用 户 想 要 自 定义 容器 的 配置 ， 可 以 在 创建 或 启动 容器 时 利用 下 面 的 参数 指定 : 


- 指定 主机 名 -h HOSTNAME or-hostname=HOSTNAME。 设 定 容器 的 主机 名 ， 它 会 被 写 到 容器 内 的 /etc/hostname 和 /etc/hosts。 但 这 个 主机 名 只 有 容器 内 能 看 到 ， 在 容器 外 部 则 看 不 到 ， 既 不 会 在 docker 
ps 中 显示 ， 也 不 会 在 其 他 的 容器 的 /etc/hosts 看 到 。 


“ 记录 其 他 容器 主机 名 --link=CONTAINER_NAME: ALIAS。 选 项 会 在 创建 容器 的 时 候 ， 添 加 一 个 所 连接 容器 的 主机 名 到 容器 内 /etc/hosts 文 件 中 。 这 样 ， 新 创建 容器 可 以 直接 使 用 主机 名 来 与 所 连接 容 
器 通信 。 


- 指定 DNS 服务 器 --dns=IP_ADDRESS。 添 加 DNS 服务 器 到 容器 的 /etc/resolv.conf 中 ， 容 器 会 用 指定 的 服务 器 来 解析 所 有 不 在 /etc/hosts 中 的 主机 名 。 


- 指定 DNS 搜索 域 --dns-search=DOMAIN。 设 定 容器 的 搜索 域 ， 当 设 定 搜索 域 为 .example.com 时 ， 在 搜索 一 个 名 为 host 的 主机 时 ，DNS 不 仅 搜 索 host， 还 会 搜索 host.example.com。 


20.3 ”容器 访问 控制 


容器 的 访问 控制 ， 主 要 通过 Linux 上 的 iptables 防 火 墙 软件 来 进行 管理 和 实现 。iptables 是 Linux 系 统 流行 的 防火 墙 软件 ， 在 大 部 分 发 行 版 中 都 自 带 。 


1. 容 器 访问 外 部 网 络 


从 前 面 的 描述 中 ， 我 们 知道 容器 默认 指定 了 网 关 为 docker0 网 桥 上 的 docker0 内 部 接口 。docker0 内 部 接口 同时 也 是 宿主 机 的 一 个 本 地 接口 。 因 此 ， 容 器 默认 情况 下 是 可 以 访问 到 宿主 机 本 地 的 。 


更 进一步 地 ， 容 器 要 想 通 过 宿主 机 访问 到 外 部 网 络 ， 需 要 宿主 机 进行 转发 。 


在 宿主 机 Linux 系 统 中 ， 检 查 转发 是 否 打开 : 


$ sudo sysctl net.ipv4.ip forward 
net.ipv4.ip forward = 1 


如 果 为 0， 说 明 没有 开启 转发 ， 则 需要 手动 打开 : 


$ sudo sysctl -w net.ipv4.ip forward=1 


更 简单 的 ， 在 启动 Docker 服 务 的 时 候 设 定 --ip-forward=true，Docker 服 务 会 自动 打开 宿主 机 系统 的 转发 服务 。 


2. 容 器 之 间 访 问 


容器 之 间 相 互 访问 需要 以 下 两 方面 的 支持 。 


“ 网 络 拓扑 是 否 已 经 连通 。 上 默认 情况 下 ， 所 有 容器 都 会 连接 到 docker0 网 桥 上 ， 这 意味 着 默认 情况 下 拓扑 是 互通 的 。 


“ 本 地 系统 的 防火 墙 软件 iptables 是 否 允 许 访问 通过 。 这 取决 于 防火 墙 的 默认 规则 是 允许 (大 部 分 情况 ) 还 是 禁止 。 


访问 所 有 端口 


当 启 动 Docker 服 务 时 候 ， 默 认 会 添加 一 条 “允许 ”转发 策略 到 iptables 的 FORWARD 链 上 。 通 过 配置 --icc=truelfalse (默认 值 为 true) 参数 可 以 控制 默认 的 策略 。 


为 了 安全 考虑 ， 可 以 在 /etc/default/docker 文 件 中 配置 DOCKER_OPTS=--icc=false 来 默认 禁止 容器 之 间 的 相互 访问 。 


同时 ， 如 果 启 动 Docker 服 务 时 手动 指定 --iptables=false 参 数 则 不 会 修改 宿主 机 系统 上 的 iptables 规 则 。 


访问 指定 端口 


在 通过 -icc=false 禁 止 容器 间 相 互 访问 后 ， 仍 可 以 通过 --link=CONTAINER_NAME: ALIAS 选 项 来 允许 访问 指定 容器 的 开放 端口 。 


例如 ， 在 启动 Docker 服 务 时 ， 可 以 同时 使 用 icc=false--iptables=true 参 数 来 配置 容器 间 禁 止 访 问 ， 并 人 允许 Docker 自 动 修改 系统 中 的 iptables 规 则 。 


此 时 ， 系 统 中 的 iptables 规 则 可 能 是 类 似 如 下 规则 ， 禁 止 所 有 转发 流量 : 


$ sudo iptables -nL 

http://www .hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

DROP all -- 0.0.0.0/0 0.0.0.0/0 

http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


之 后 ， 启 动容 器 (docker run) 时 使 用 --link=CONTAINER_NAME: ALIAS 选 项 。Docker 会 在 iptable 中 为 两 个 互联 容器 分 别 添加 一 条 ACCEPT 规 则 ， 人 允许 相互 访问 开放 的 端口 (取决 于 Dockerfile 中 
的 EXPOSE 行 ) 。 


此 时 ，iptables 的 规则 可 能 是 类 似 如 下 规则 : 


$ sudo iptables -nL 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


Chain FORWARD (policy ACCEPT) 


target prot opt source destination 

ACCEPT tcp -- 172.17.0.2 172.17.0.3 tcp spt:80 
ACCEPT tcp -- 172.17.0.3 172.17.0.2 tcp dpt:80 
DROP all == 0.0.0.0/0 0.0.0.0/0 


Os --link=CONTAINER_NAME:ALIAS F 4jCONTAINER NAME 目前 必须 是 Docker 自 动 分 配 的 容器 名 ， 或 使 用 --name 参 数 指定 的 名 字 。 不 能 为 容器 -h 参 数 配置 的 主机 名 。 


20.4 ”映射 容器 端口 到 宿主 主机 的 实现 


默认 情况 下 ， 容 器 可 以 主动 访问 到 外 部 网 络 的 连接 ， 但 是 外 部 网 络 无 法 访问 到 容器 。 


1. 容 器 访问 外 部 实现 


假设 容器 内 部 的 网 络 地 址 为 172.17.0.2， 本 地 网 络 地 址 为 10.0.2.2。 容 器 要 能 访问 外 部 网 络 ， 源 地 址 不 能 为 172.17.0.2， 需 要 进行 源 地 址 映射 (SourceNAT，SNAT) ， 修 改 为 本 地 系统 的 IP 地 址 
10.0.2.2。 映 射 是 通过 iptables 的 源 地 址 伪装 操作 实现 的 。 


查看 主机 nat 表 上 POSTROUTING 链 的 规则 。 该 链 负 责 网 包 要 离开 主机 前 ， 改 写 其 源 地 址 : 


$ sudo iptables -t nat -nvL POSTROUTING 
Chain POSTROUTING (policy ACCEPT 12 packets, 738 bytes) 


pkts bytes target prot opt in out source destination 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
0 0 MASQUERADE all -- * !IdockerO0 172.17.0.0/16 0.0.0.0/0 


http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


其 中 ， 上 述 规则 将 所 有 源 地 址 在 172.17.0.0/16 网 段 ， 且 不 是 从 docker0 接 口 发 出 的 流量 ( 即 从 容器 中 出 来 的 流量 ) ， 动 态 伪装 为 从 系统 网 卡 发 出 。MASQUERADE 行 动 跟 传统 SNAT 行 动 的 好 处 是 它 能 
动态 从 网 卡 获取 地 址 。 


2. 外 部 访问 容器 实现 


容器 允许 外 部 访问 ， 可 以 在 dockerrun 时 候 通 过 -p 或 -P 参 数 来 启用 。 


不 管用 那 种 办 法 ， 其 实 也 是 在 本 地 的 iptable 的 nat 表 中 添加 相应 的 规则 ， 将 访问 外 部 IP 地 址 的 网 包 进行 目标 地 址 DNAT， 将 目标 地 址 修改 为 容器 的 IP 地 址 。 


以 一 个 开放 80 端 口 的 web 容 器 为 例 ， 使 用 -P 时 ， 会 自动 映射 本 地 49000~49900 范 文 内 的 端口 随机 端口 到 容器 的 80 端 口 : 


$ sudo iptables -t nat -nvL 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Chain PREROUTING (policy ACCEPT 236 packets, 33317 bytes) e 

pkts bytes target prot opt in out Source destination 

567 30236 DOCKER abb e i 0.0.0.0/0 0.0.0.0/0 
ADDRTYPE match dst-type LOCAL 
Chain DOCKER (2 references) 

pkts bytes target prot opt in out Source destination 

0 0 DNAT tcp --  !dockerO * 0.0.0.0/0 0.0.0.0/0 

tcp dpt:49153 to:172.17.0.2:80 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


可 以 看 到 ，nat 表 中 涉及 两 条 链 ，PREROUTING 链 负责 包 到 达 网 络 接口 时 ， 改 写 其 目的 地 址 。 其 中 规则 将 所 有 流量 都 扔 到 DOCKER 链 。 而 DOCKER 链 中 将 所 有 不 是 从 docker0 进 来 的 网 包 (意味 着 不 是 
产生 ) ， 将 目标 端口 为 49153 的 ， 修 改 目标 地 址 为 172.17.0.2， 目 标 端口 修改 为 80。 


E 
lid 


使 用 -p 80: 80 时 ， 与 上 面 类 似 ， 只 是 本 地 端口 也 为 80: 


$ sudo iptables -t nat -nvL 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 
Chain PREROUTING (policy ACCEPT 236 packets, 33317 bytes) 


pkts bytes target prot opt in out source destination 
567 30236 DOCKER all == * * 0.0.0.0/0 0.0.0.0/0 
ADDRTYPE match dst-type LOCAL 
Chain DOCKER (2 references) 
pkts bytes target prot opt in out source destination 
0 0 DNAT tcp -- !docker0 * 0.0.0.0/0 0.0.0.0/0 


tcp dpt:80 to:172.17.0.2:80 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/... 


注意 以 下 问题 : 
- 这 里 的 规则 映射 了 0.0.0.0， 意 味 着 将 接受 主机 来 自 所 有 网 络 接口 上 的 流量 。 用 户 可 以 通过 -p IP: host port: container_port 或 -p IP::portt 来 指定 绑 定 的 外 部 网 络 接口 ， 以 制定 更 严格 的 访问 规则 。 


“ 如 果 和 希望 映射 永久 绑 定 到 某 个 固定 的 IP 地 址 ， 可 以 在 Docker 配 置 文 件 /etc/default/docker 中 指定 DOCKER_OPTS="--ip=IP_ADDRESS"， 之 后 重启 Docket 服 务 即 可 生效 。 


20.5 ”配置 docker0 网 桥 


Docker 服 务 默认 会 创建 一 个 名 称 为 docker0 的 Linux 网 桥 (其 上 有 一 个 docker0 内 部 接口 ) ， 它 在 内 核 层 连通 了 其 他 的 物理 或 虚拟 网 卡 ， 这 就 将 所 有 容器 和 本 地 主机 都 放 到 同一 个 物理 网 络 。 


Docker 默 认 指定 了 docker0 接 口 的 IP 地 址 和 子 网 掩 码 ， 让 主机 和 容器 之 间 可 以 通过 网 桥 相互 通信 ， 它 还 给 出 了 MTU (接口 允许 接收 的 最 大 传输 单元 ) ， 通 常 是 1500Bytes， 或 宿主 主机 网 络 路 由 上 支持 
的 默认 值 。 这 些 值 都 可 以 在 服务 启动 的 时 候 进行 配置 。 


“ -bip=CIDR 一 一 IP 地 址 加 掩 码 格式 ， 例 如 192.168.1.5/24。 


: -mtu=BYTES 


A ARA Docker mtu 配 置 。 


也 可 以 在 配置 文件 中 配置 DOCKER_OPTS， 然 后 重启 服务 。 由 于 目前 Docker 网 桥 是 Linux 网 桥 ， 用 户 可 以 使 用 brctl show 来 查看 网 桥 和 端口 连接 信息 : 


$ sudo brctl show 

bridge name bridge id STP enabled interfaces 

docker0 8000.3a1d7362b4ee no veth65f9 
vethdda6 


Oze brctl 命 令 在 Debian、Ubuntu 中 可 以 使 用 sudo apt-get install bridge-utils 来 安装 。 


每 次 创建 一 个 新 容器 的 时 候 ，Docker 从 可 用 的 地 址 段 中 选择 一 个 空闲 的 |P 地 址 分 配给 容器 的 eth0 端 口 。 并 且 使 用 本 地 主机 上 docker0 接 口 的 IP 作 为 容器 的 默认 网 关 : 


$ sudo docker run -i -t --rm base /bin/bash 
$ ip addr show ethO 
24: eth0: «BROADCAST,UP,LOWER UP» mtu 1500 qdisc pfifo fast state UP group default qlen 1000 
link/ether 32:6f:e0:35:57:91 brd ff:ff:ff:ff:iff:ff 
inet 172.17.0.3/16 scope global eth0 
valid lft forever preferred lft forever 
inet6 fe80::306f:e0ff:fe35:5791/64 scope link 
valid lft forever preferred lft forever 
$ ip route 
default via 172.17.42.1 dev eth0 
172.17.0.0/16 dev eth0 proto kernel scope link src 172.17.0.3 
$ exit 


目前 ，Docker 不 支持 在 启动 容器 时 候 指定 IP 地 址 。 


Quse 实际 上 ，Linux 网 桥 可 以 很 容易 替换 为 DpenvSwitch 等 功能 更 强大 的 网 桥 实现 ， 可 以 支持 VLan 等 属性 。 


20.6 BEMIR 


除了 默认 的 docker0 网 桥 ， 用 户 也 可 以 指定 网 桥 来 连接 各 个 容器 。 


在 启动 Docker 服 务 的 时 候 ， 使 用 -b BRIDGE 或 --bridge=BRIDGE 来 指定 使 用 的 网 桥 。 


如 果 服 务 已 经 运行 ， 那 需要 先 停止 服务 ， 并 删除 旧 的 网 桥 : 


$ sudo service docker stop 
$ sudo ip link set dev docker0 down 
$ sudo brctl delbr docker0 


然后 创建 一 个 网 桥 bridge0: 


$ sudo brctl addbr bridgeO 
$ sudo ip addr add 192.168.5.1/24 dev bridgeO 
$ sudo ip link set dev bridge0 up 


查看 确认 网 桥 创建 并 启动 : 


$ ip addr show bridgeO 
4: bridge0: «BROADCAST,MULTICAST» mtu 1500 qdisc noop state UP group default 
link/ether 66:38:d0:0d:76:18 brd ff:ff:ff:ff:ff:ff 
inet 192.168.5.1/24 scope global bridgeO 
valid lft forever preferred lft forever 


配置 Docker 服 务 ， 默 认 桥接 到 创建 的 网 桥 上 : 


$ echo 'DOCKER OPTS-"-b-bridge0"' >> /etc/default/docker 
$ sudo service docker start 


启动 Docker 服 务 。 新 建 一 个 容器 ， 可 以 看 到 它 已 经 桥接 到 了 bridge0 上 。 


可 以 继续 用 brctl show 命 令 查看 桥接 的 信息 。 另 外 ， 在 容器 中 可 以 使 用 ip addr 和 ip route 命 令 来 查看 IP 地 址 配置 和 路 由 信息 。 


20.7 “创建 一 个 点 到 点 连接 


默认 情况 下 ，Docker 会 将 所 有 容器 连接 到 由 docker0 提 供 的 虚拟 子 网 中 。 


有 时 候 需 要 两 个 容器 之 间 可 以 直 连 通信 ， 而 不 用 通过 主机 网 桥 进行 桥接 。 


解决 办 法 很 简单 : 创建 一 对 peer 接 口 ， 分 别 放 到 两 个 容器 中 ， 配 置 成 点 到 点 链 路 类 型 即 可 。 


首先 启动 两 个 容器 : 


$ sudo docker run -i -t --rm --net-none base /bin/bash 
root8(1f1f4c1f931a:/i 
$ sudo docker run -i -t --rm --net-none base /bin/bash 
root812e343489d2f:/f 


找到 进程 号 ， 然 后 创建 网 络 命名 空间 的 跟踪 文件 : 


$ sudo docker inspect -f '((.State.Pid))' 1flf4clf931a 
2989 

$ sudo docker inspect -f '{{.State.Pid}}' 12e343489da2f 
3004 

$ sudo mkdir -p /var/run/netns 

$ sudo ln -s /proc/2989/ns/net /var/run/netns/2989 

$ sudo ln -s /proc/3004/ns/net /var/run/netns/3004 


创建 一 对 peer 接 口 ， 然 后 配置 路 由 : 


sudo ip link add A type veth peer name B 

sudo ip link set A netns 2989 

sudo ip netns exec 2989 ip addr add 10.1.1.1/32 dev A 
sudo ip netns exec 2989 ip link set A up 

sudo ip netns exec 2989 ip route add 10.1.1.2/32 dev A 
sudo ip link set B netns 3004 

sudo ip netns exec 3004 ip addr add 10.1.1.2/32 dev B 
sudo ip netns exec 3004 ip link set B up 

sudo ip netns exec 3004 ip route add 10.1.1.1/32 dev B 


An AP: APP: A AP A AA 


现在 这 两 个 容器 就 可 以 相互 ping 通 ， 并 成 功 建立 连接 。 点 到 点 链 路 不 需要 子 网 和 子 网 掩 码 。 


此 外 ， 也 可 以 不 指定 --net=none 来 创建 点 到 点 链 路 。 这 样 容器 还 可 以 通过 原先 的 网 络 来 通信 。 


利用 类 似 的 办 法 ， 可 以 创建 一 个 只 跟 主 机 通信 的 容器 。 但 是 一 般 情况 下 ， 更 推荐 使 用 --icc=false 来 关闭 容器 之 间 的 通信 。 


208 TEMME 


围绕 Docker 网 络 的 管理 和 使 用 ， 现 在 已 经 诞生 了 一 些 方便 用 户 操作 的 工具 和 项 目 ， 包 括 pipework、playground， 以 及 Docker 社 区 正在 推进 的 libswarm 项 目 。 


1.pipework 


Jérôme Petazzoni 编 写 了 一 个 叫 pipework 的 shell 脚 本 封装 了 一 些 操作 ， 可 以 简化 在 比较 复杂 的 场景 对 容器 连接 的 操作 命令 。 


例如 ,分 别 启动 两 个 终端 ， 在 其 中 创建 两 个 测试 容器 c1 和 c2， 并 查看 网 卡 配置 。 


容器 c1: 


$ sudo docker run --name cl -it ubuntu 

root8elc70b140f1f:/4 ifconfig 

eth0 Link encap:Ethernet  HWaddr 02:42:ac:11:00:05 
inet addr:172.17.0.5 Bcast:0.0.0.0 Mask:255.255.0.0 
inet6 addr: fe80::42:acff:fell:5/64 Scope:Link 
UP BROADCAST RUNNING MTU:1500 Metric:l 
RX packets:8 errors:0 dropped:0 overruns:0 frame:0 
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:648 (648.0 B) TX bytes:648 (648.0 B) 

lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


容器 c2: 


$ sudo docker run --name c2 -it ubuntu 

root82c47b6af0c3f:/f ifconfig 

eth0 Link encap:Ethernet  HWaddr 02:42:ac:11:00:06 
inet addr:172.17.0.6 Bcast:0.0.0.0 Mask:255.255.0.0 
inet6 addr: fe80::42:acff:fell:6/64 Scope:Link 
UP BROADCAST RUNNING MTU:1500 Metric:l 
RX packets:5 errors:0 dropped:0 overruns:0 frame:0 
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:418 (418.0 B) TX bytes:418 (418.0 B) 

lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


利用 pipework 为 容器 c1 和 <c2 添 加 新 的 网 卡 ， 并 将 它们 连接 到 新 创建 的 br1 网 桥 上 : 


$ sudo pipework brl cl 192.168.1.1/24 
$ sudo pipework brl c2 192.168.1.2/24 


此 时 在 主机 系统 中 查看 网 桥 信 息 ， 会 发 现 新 创建 的 网 桥 br1， 并 且 有 两 个 veth 端 口 连接 上 去 。 


$ sudo brctl show 


bridge name bridge id STP enabled interfaces 
bri 8000.868b605fc7a4 no veth1pl117805 

veth1pl17880 
docker0 8000.56847afe9799 no veth89934d8 
容器 C1: 


root@1l0efObd4cb77:/# ifconfig 

eth0 Link encap:Ethernet HWaddr 02:42:ac:11:00:05 
inet addr:172.17.0.5 Bcast:0.0.0.0 Mask:255.255.0.0 
inet6 addr: fe80::42:acff:fell:5/64 Scope:Link 
UP BROADCAST RUNNING MTU:1500 Metric:1 
RX packets:17 errors:0 dropped:0 overruns:0 frame:0 
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:1338 (1.3 KB) TX bytes:648 (648.0 B) 

ethl Link encap:Ethernet  HWaddr 0a:95:e0:8b:7c:d3 
inet addr:192.168.1.1 Bcast:0.0.0.0 Mask:255.255.255.0 
inet6 addr: fe80::895:e0ff:fe8b:7cd3/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 
RX packets:15 errors:0 dropped:0 overruns:0 frame:0 
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:1206 (1.2 KB) TX bytes:648 (648.0 B) 

lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


容器 c2: 


root@2c47b6af0c3f:/# ifconfig 

eth0 Link encap:Ethernet  HWaddr 02:42:ac:11:00:06 
inet addr:172.17.0.6 Bcast:0.0.0.0 Mask:255.255.0.0 
inet6 addr: fe80::42:acff:fell:6/64 Scope:Link 
UP BROADCAST RUNNING MTU:1500 Metric:1 
RX packets:13 errors:0 dropped:0 overruns:0 frame:0 
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:1048 (1.0 KB) TX bytes:856 (856.0 B) 

ethl Link encap:Ethernet  HWaddr a6:9e:6e:a0:4a:44 
inet addr:192.168.1.2 Bcast:0.0.0.0 Mask:255.255.255.0 
inet6 addr: fe80::a49e:6eff:fea0:4a44/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 
RX packets:8 errors:0 dropped:0 overruns:0 frame:0 
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:648 (648.0 B) TX bytes:690 (690.0 B) 

lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


此 时 ， 容 器 c1 和 c2 可 以 通过 子 网 192.168.1.0/16 相 互 连 通 。 


另外 ，pipework 还 支持 指定 容器 内 的 网 卡 名 称 、MAC 地 址 、 网 络 掩 码 和 网 关 等 配置 ， 甚 至 通过 macvlan 连 接 容器 到 本 地 物理 网 卡 ， 实 现 跨 主机 通信 。 


pipework 代 码 只 有 200 多 行 ， 建 议 进行 阅读 ， 有 助 于 理解 如 何 利 用 Linux 系 统 上 的 iproute 等 工具 实现 容器 连接 的 配置 。 实 际 上 ，Docker 在 实现 上 也 是 采用 了 相同 的 底层 机 制 。 目 前 ，Docker 社 区 在 推 
动 具有 更 多 功能 的 libswarm 项 目 ， 以 实现 更 标准 的 接口 。 


2.playground 


Brandon Rhodes 创 建 了 一 个 提供 完整 的 Docker 容 器 网 络 拓扑 管理 的 Python 库 ， 包 括 路 由 、NAT 防 火 墙 ， 以 及 一 些 提供 HTTP、SMTP、POP、IMAP、Telnet、SSH、FTP 的 服务 器 的 实现 。 


基于 playground， 用 户 可 以 提前 配置 好 容器 的 拓扑 ， 然 后 一 条 命令 ， 启 动 多 个 容器 并 构成 互联 关系 。 该 项 目 跟 下 一 章 要 介绍 的 fig 项 目 功能 有 重复 ,被 蔡 代 的 可 能 性 较 大 。 


eel 


3.libswarm 项 目 


该 项 目 诞生 于 2014 年 3 月 ， 遵 循 Apache 2.0 许 可 ， 目 前 项 目 仍 在 进行 中 。libswarm 项 目 源码 在 https://github.com/docker/libswarm 上 进行 维护 ， 目 标 是 打造 管理 Docker 网 络 的 最 小 化 工具 集 。 


libswarm 的 主要 目标 为 定义 分 布 式 系统 各 个 组 件 之 间 进 行 通 信 的 统一 接口 ， 以 实现 多 种 平台 上 Docker 容 器 操作 的 统一 性 ， 隐 藏 下 层 不 同 的 实现 接口 。 它 包括 许多 的 子 服务 项 目 ， 包 括 Docker server, 
Docker client、SSH 隧 道 、Etcd 配 置 管理 、SkyDNS 等 。 


使 用 libswarm 可 以 实现 ， 在 同一 个 控制 端 同时 查看 、 管 理 运行 在 多 个 不 同 主机 和 平台 上 的 Docker 镜 像 、 容 器 ; 引入 更 强大 的 服务 发 现 和 集群 系统 等 。 


安装 libswarm 可 以 通过 如 下 步 又。 首先 ， 安 装 go 语言 环境 。 访 问 https//golang.org/dl/， 下 载 源码 包 ， 解 压 后 安装 ， 并 更 新 系统 环境 中 的 路 径 变量 。 


$ export GOPATH-/usr/local/go 
$ export PATH-$PATH:$GOPATH/bin 


之 后 ， 使 用 Go 下 载 源码 : 


$ go get github.com/docker/libswarm 


安装 bzr: 


$ sudo apt-get install bzr -y 


编辑 并 安装 : 


$ cd $GOPATH/src/github.com/docker/libswarm 
$ make deps 
$ go install github.com/docker/libswarm/swarmd 


安装 成 功 后 ， 可 以 查看 swarmd 的 用 法 : 


Swarmd - Compose distributed systems from lightweight services 
USAGE: 

swarmd [global options] command [command options] [argumentshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/...] 
VERSION: 


help, h Shows a list of commands or help for one command 
GLOBAL OPTIONS: 

--version, -v print the version 

--help, -h show help 


209 ”本 章 小 结 


本 章 具体 讲解 了 使 用 Docker 网 络 的 一 些 高 级 部 署 和 操作 配置 ， 包 括 配置 启动 参数 、DNS、 容 器 的 访问 控制 管理 等 。 并 介绍 了 Docker 网 络 相关 的 一 些 工 具 和 项 目 。 


网 络 是 一 个 复杂 的 领域 ， 特 别 在 云 计算 领域 ， 因 为 网 络 配置 造成 的 管理 成 本 ， 以 及 因为 网 络 原因 造成 的 业务 损失 ， 都 占 到 十 分 可 观 的 比例 。 这 是 因为 网 络 领域 所 涉及 的 学 科 和 技术 门类 众多 ， 包 括 软 
件 、 硬 件 、 系 统 ， 等 等 。 而 且 往往 要 求 用 户 对 于 各 种 技术 的 细节 把 握 得 十 分 精确 。 


从 目前 来 看 ，Docker 网 络 所 能 提供 的 功能 还 十 分 简单 ， 并 且 基 本 上 都 是 依赖 于 Linux 操 作 系统 上 的 现 有 技术 。 这 在 初期 可 以 让 Docker 不 必 考 虑 太 多 的 网 络 问题 ， 可 以 关注 自身 的 特点 得 以 快速 发 展 。 但 
随 着 Docker 应 用 在 各 种 分 布 式 环境 、 特 别 是 云 平 台 上 ， 网 络 方面 的 需求 和 瓶颈 将 会 大 量 出 现 ， 而 且 不 少 都 是 新 的 问题 。 


如 何 结合 已 有 的 各 种 网 络 虚 拟 化 技术 来 解决 Docker 网 络 的 问题 ， 将 是 未 来 一 段 时 间 内 云 计 算 方向 中 值得 持续 探讨 的 重点 技术 话题 。 


第 21 章 ”Docker 相 关 项 目 


Docker 昌 然 属于 新 兴 技 术 ， 但 围绕 它 已 经 出 现 了 不 少 优秀 的 技术 项 目 ， 包 括 利用 Docker 进 行 云 计 算 平台 搭建 ， 特 别 是 实现 平台 即 服务 ， 利 用 Docker 来 实现 高 效 的 持续 集成 服务 ， 以 及 对 大 规模 Docker 
容器 的 管理 和 进行 编程 开发 等 。 


本 章 将 介绍 这 方面 的 一 些 典型 项 目 ， 包 括 Deis、Flynn、Drone、Citadel、Shipyard、Kubernetes、Panamax、Fig 等 。 


21.1 平台 即 服 务 方案 


PaaS (Platform as a Service, 平台 即 服务 ) 是 希望 提供 一 个 统一 的 操作 系统 平台 环境 ， 让 所 有 软件 直接 运行 在 它 上 面 ， 而 无 需 复杂 配置 。Docker 天 生 的 应 用 封装 ， 为 实现 PaaS 提 供 了 某 种 便利 。 这 
里 介绍 几 个 基于 Docker 相 关 技 术 的 PaaS 项 目 。 


1.Deis 
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Deis 是 开源 的 PaaS 项 目 ， 基 于 Go 语言 实现 ， 遵 循 Apache 2.0 协 议 。 由 OpDemand 公 司 在 2013 年 7 月 发 起 ， 目 前 还 处 于 开发 阶段 。OpDemand 公 司 提供 对 Deis 的 商业 服务 支持 。 


项 目 官方 网 站 为 http://deis.io， 代 码 在 https://github.com/deis/deis 维 护 。 


Deis 试 图 提供 轻 量 级 的 PaaS 实 现 ， 为 用 户 提供 简单 的 应 用 管理 和 部 署 。 


Deis 基 于 Docker 项 目 和 CoreOS 项 目 ， 并 遵循 了 SaaSs (Software-as-a-Service， 软 件 即 应 用 ) 应 用 的 “十 二 因素 ”风格 。 它 通过 简单 的 git push 命 令 来 部 署 应 用 ， 加 速 集成 和 部 署 过 程 ; 它 还 支持 对 应 
用 容器 通过 单条 命令 进行 扩展 。 


Qus 十 二 因素 是 指 一 套 SaaS 应 用 所 遵循 的 风格 ， 包 括 对 代码 、 依 赖 、 配 置 、 后 端 服务 、 生 命 周 期 、 进 程 、 端 口 、 并 发 、 可 丢弃 性 、 开 发 与 生产 差异 性 、 日 志 、 管 理 等 十 二 个 方面 的 规定 。 


在 架构 设计 上 ，Deis 整 合 了 一 系列 Docker 容 器 ， 可 以 被 部 署 到 公有 云 、 私 有 云 ， 以 及 本 地 环境 中 ， 并 提供 了 完整 的 测试 、 诊 断 的 工具 。 
2.Flynn 


项 目 官方 网 站 为 http://flynn.io， 代 码 在 https://github.com/flynn/flynn 维 护 。 


Flynn 项 目 由 一 个 创业 团队 在 2013 年 7 月 发 起 ， 基 于 Go 语言 ， 目 前 还 处 于 beta 阶 段 。Flynn 已 经 在 Selfstarter 创 业 募集 网 站 上 筹集 到 了 近 十 万 美元 的 赞助 。 


Flynn 项 目的 发 起 也 是 由 于 一 些 部 署 实践 问题 : 在 部 署 SOA (Service Oriented Architecture， 是 大 规模 分 布 式 系统 常 采用 的 架构 风格 ， 需 要 功能 组 件 之 间 的 松 耦 合 ) 产品 至 公有 云 的 过 程 中 ， 往 往 需 要 
人 工 部 署 和 维护 大 量 不 同 功能 部 件 。 


Flynn 基 于 Heroku 项 目 。 它 受到 Omege 概 念 (来 自 剑 桥 大 学 、 加 州 伯克利 大 学 和 Google 公 司 合作 的 《Omega: f&&xible, scalable schedulers for large compute clusters》 论 文 ) 的 启发 ，Flynn 不 
仅 能 完成 简单 可 控 的 部 署 ， 还 能 进行 自由 的 扩展 ， 并 提供 数据 库 管理 等 功能 。Flynn 可 以 方便 地 实现 一 套 比 较 理想 的 PaaSs 方 案 。 


注意 Heroku 是 一 个 支持 多 种 编程 语言 ( 包括 Ruby、Java、Node.js、Scala、Clojure、Python 以 及 PHP 和 Petl 等 ) 的 云 平台 即 服务 实现 。 在 2010 年 被 Salesforce.com 收 购 。 


在 设计 上 ，Flynn 项 目 尽量 保持 API 驱 动 和 模块 化 ， 以 便 模块 支持 不 同 的 实现 方案 。 底 层 (layer 0) 实现 一 套 支持 服务 发 现 的 资源 管理 框架 ， 上 层 (layer 1) 实现 适合 部 署 和 维护 的 应 用 组 件 。 


目前 ，Flynn 项 目 已 经 获得 了 Shopify 等 公司 的 支持 。 


21.2 ”持续 集成 


目前 ，Drone 项 目 利用 Docker 技 术 ， 实 现 持 续集 成 (Continuous Integration) 平台 服务 。 


Drone 


项 目 官方 网 站 为 http://drone.io， 代 码 在 https://github.com/drone/drone 维 护 。 


Drone 是 开源 的 开源 持续 集成 平台 项 目 ， 基 于 Go 语言 实现 ， 遵 循 Apache 2.0 协 议 。 该 项 目 最 初 由 Drone 公 司 在 2014 年 2 月 发 起 ， 目 前 还 处 于 开发 阶段 。Drone 公 司 基 于 它 ， 提 供 支 持 Github、 
Bitbucket 和 Google Code 等 第 三 方 代码 托管 平台 的 持续 集成 服务 。 


Drone 基 于 Docker 和 AUFS 实 现 ， 为 用 户 提供 基于 网 站 的 操作 。 


户 登 录 网 站 后 ， 可 以 选择 源码 的 存放 服务 ， 如 图 21-1 所 示 。 


drone.iO beta New Project Logout 


Repository Setup 


Github Bitbucket Google Code 


21-1 选择 服务 器 


此 处 选择 Github 服 务 ， 然 后 从 仓库 列表 中 选择 项 目 ， 如 图 21-2 所 示 。 


dr one.ig beta New Project Logout 


€ Repository Setup 


bradrydzewski / routes Select 
bradrydzewski / blog.drone.io 
bradrydzewski / buddy 合 


bradrydzewski / jkl & Select 


图 21-2 ”选择 项 目 


并 配置 项 目的 语言 种 类 ， 如 图 21-3 所 示 。 


drone.iO beta New Project Logout 


hello-world 


Project Setup 


e» g 


Node js (Beta) PHP (Beta) Python (Beta) Ruby (Beta) 


df 


Groovy (Beta) Scala (Beta) 


图 21-3 ”选择 语言 


最 后 是 检查 创建 命令 是 否 正确 ， 并 根据 需要 进行 调整 ， 如 图 21-4 所 示 。 


Crone.io beta New Project Logout 
hello-world 
s://bitt [ Project Setup 
Setup your Build Script 


/home/ubuntu/src/bit ucket .com/brydzewski/hello-world 


npm -d install 
npm test 


图 21-4 检查 创建 命令 


最 后 ， 项 目 就 可 以 在 Drone 平 台 上 进行 持续 集成 管理 了 ， 如 图 21-5 所 示 。 


口 FONMB.IO beta New Project Logout 


hello-world 


Build & Test Build N Kickoff a build request. Use for testing when you change your build script. 
= d Make sure to actually save changes first (Save is at the bottom). 
Deployments 


Language 
Notifications 
Node 0.8 
Artifacts 


Databases 


Status Badges MySQL 
PostgreSQL 


more 


Repository 


lembers 

Meinbers Commands 
working directory /home/ubuntu/src/bitbucket .com/brydzewski /hello-world 
npm -d install 
npm test 


图 21-5 Drone 平 台 


213 ”管理 工具 


Docker 对 单个 容器 操作 已 经 提供 了 功能 强大 的 命令 行 操作 和 API 操 作 接口 ， 但 是 一 方面 缺乏 同时 对 多 个 容器 (特别 是 容器 集群 ) 进行 管理 的 方案 ， 另 一 方面 缺乏 图 形 界面 的 管理 平台 。 


目前 ， 已 经 有 若干 开源 项 目 试图 实现 更 为 强大 和 便捷 的 Docker 管 理工 具 ， 包 括 Citadel、Shipyard、DockerUl、Panamax、Kubernetes 等 。 下 面 逐 一 介绍 。 


1.Citadel 


项 目 官方 网 站 为 http://citadeltoolkit.org， 代 码 在 https://github.com/citadel/citadel 维 护 。 


Citadel 项 目 于 2014 年 4 月 由 Citadel 团 队 正式 推出 ， 基 于 Go 语言 实现 ， 目 标 是 提供 一 套 在 由 Docker 容 器 构成 的 集群 中 对 容器 进行 调度 的 工具 ， 主 要 包括 集群 管理 组 件 和 调度 组 件 。 
集群 管理 组 件 (Cluster Manager) 负责 管理 集群 的 状态 ， 通 过 调用 Docker 提 供 的 APl 来 连接 到 主机 ， 管 理 容器 。 

调度 组 件 (Scheduler) 决策 如 何 进行 调度 ， 支 持 多 套 调度 方法 ， 包 括 基于 标签 、 基 于 是 否 同一 镜像 、 基 于 主机 、 组 合 方法 等 多 种 调度 机 制 。 

用 户 使 用 Citadel 首 先 要 为 调度 组 件 提 供 容器 类 型 ， 并 指定 调度 所 关心 的 资源 限制 ; 此 后 ， 调 度 器 会 根据 容器 类 型 、 服 务 将 容器 启动 到 合适 的 主机 上 去 。 


2.Shipyard 


项 目 官方 网 站 为 http://shipyard-project.com/， 代 码 在 https://github.com/shipyard/shipyard 维 护 。 


Shipyard 项 目 于 2013 年 11 月 发 起 ， 它 目前 基于 Citadel 项 目 (部 分 开发 者 来 自 同一 团队 ) ， 希 望 提 供 一 套 对 Docker 集 群 中 资源 进行 管理 的 工具 ， 包 括 对 Docker 容 器 、 主 机 等 资源 的 管理 。 它 最 大 的 特点 
是 在 核心 部 件 之 外 还 支持 扩展 镜像 ， 可 以 根据 需求 灵活 实现 应 用 负载 均衡 、 集 中 日 志 管理 和 自动 化 部 署 等 功能 。 


此 外 ，Shipyard 还 提供 了 方便 用 户 的 Web 界 面 ， 功 能 更 加 强大 的 命令 行 操作 接口 ， 以 及 统一 的 APl， 如 图 21-6 所 示 。 


shipyard 
二 Dashboard ES Containers 4i Engines [S Events 


CPU Memory 
9/26/14 5:26 PM stort ef35b84dofff 
ehaz!ett/go-demo:latest 


9/26/14 5:26 PM create ef85b84a0]j 
ehazlett/go-demo.latest 


9/26/14 4:30 PM aefete-account 
nome=foo 


9/26/14 4:30 PM odd-occount 
name-foc 


3/26/14 4:20 PM create 506523o45fíd 
ehazlett/go-demo:latest 


图 21-6 Shipyard LÆ 


Shipyard 支 持 的 命令 包括 login、run、stop、rstart、info 等 ， 如 图 21-7 所 示 。 


Shipyard X 445 4p 4- 


3.Kubernetes 


kubernetes 


Kubernetes 项 目 由 Google 于 2014 年 6 月 开源 ， 核 心 基于 Go 语言 ， 目 前 代码 在 https://github.com/GoogleCloudPlatform/kubernetes 维 护 ， 网 站 为 http://kubernetes.io/。 


Kubernetes 项 目 支持 用 户 在 跨 容器 主机 集群 的 情况 下 ， 轻 松 地 管理 、 监 测 、 控 制 容器 化 应 用 部 署 。 其 目标 是 为 Docker 工 作 负 载 构建 一 个 精致 的 、 可 扩展 和 便携 式 管理 框架 。 它 允许 客户 像 谷歌 管理 搜 
索 和 Gmail 等 超大 规模 应 用 程序 一 样 来 管理 他 们 的 应 用 程序 。 


Kubernetes 核 心 概念 是 容器 组 (Container Pod) ， 即 一 批 工 作 于 同一 物理 工作 节点 的 容器 。 这 些 容器 拥有 相同 的 网 络 命名 空间 、IP 地 址 和 存储 配额 ， 可 以 根据 实际 情况 对 每 一 个 容器 组 进行 端口 映 
射 。 此 外 ，Kubernetes 有 一 个 与 软件 定义 网 络 (Software Defined Networking, SDN) 非常 相似 的 网 络 管理 概念 : 通过 一 个 服务 代理 创建 一 个 可 以 分 配给 任意 数目 容器 的 |P 地 址 ， 前 端的 应 用 程序 或 使 


该 服务 的 用 户 仅 通过 这 一 IP 地 址 调用 服务 ， 不 需要 关心 其 他 细节 。 


目前 ， 已 有 Microsoft、RedHat、IBM、Docker、Mesosphere、CoreOSs 以 及 SaltStack 等 公司 加 入 了 Kubernetes 社 区 。 还 有 Flannel 等 项 目 针 对 Kubernetes 提 供 覆 盖 网 络 功能 。 


4.DockerUl 


DockerUI 项 目 目前 在 https://github.com/crosbymichael/dockerui 维 护 。 


该 项 目 于 2013 年 12 月 发 起 ， 主 要 基于 html/js 语 言 实现 ， 遵 循 MIT 许 可 。 可 以 通过 下 面 的 命令 简单 测试 该 工具 : 


$ sudo docker build -t crosbymichael/dockerui 
github.com/crosbymichael/dockerui 
$ sudo docker run -d -p 9000:9000 -v /var/run/docker.sock:/docker.sock crosbymichael/dockerui -e /docker.sock 


运行 成 功 后 ， 打 开 浏 览 器 ， 访 问 http://:9000。 


5.Panamax 


项 目 官方 网 站 为 http://panamax.io， 代 码 在 https://github.com/CenturyLinkLabs/panamax-ui 维 护 。 


Panamax 项 目 诞 生 于 2014 年 3 月 ， 由 CenturyLink 实 验 室 发 起 (是 该 实验 室 的 第 一 个 孵化 出 的 开源 项 目 ) ， 希 望 是 通过 一 套 优雅 的 界面 来 实现 对 复杂 的 Docker 容 器 应 用 的 管理 ， 例 如 利用 简单 拖 搜 来 完 
成 操作 。Panamax 项 目 基于 Docker、CoreOS 和 Fleet， 可 以 提供 对 容器 的 自动 化 管理 和 任务 调度 ， 如 图 21-8 所 示 。 


Panamax Q secs 


DAC CenturyLink 


Search Panamax Templates & Docker Repositories 


Or, try one of these popular searches: 


From the CenturyLink Labs Blog 


How to Use Docker in Cloud 
Foundry with Colin Humphreys 


Caching Docker images 
Optimizing Docker Images 
The Future of Docker 


What Makes a Good REST API 
Framework? (part 1) 
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图 21-8 Panamax LF} 


Panamax 项 目 基于 Ruby 语 言 ， 遵 循 Apache 2 许可 ， 可 以 部 署 在 Google、Amazon 等 云 平台 甚至 本 地 环境 。 


此 外 ，Panamax 还 提供 了 开源 应 用 的 模板 库 ， 来 集中 管理 不 同 应 用 的 配置 和 架构 。 


6.seagull 


seagull 是 由 小 米 工程 师 陈 迪 豪 发 布 的 开源 Docker 容 器 和 镜像 的 Web 界 面 监控 工具 ， 目 前 在 https://github.com/tobegit3hub/seagull 维 护 ， 如 图 21-9 所 示 。 


Seagull ^ Containers Images Configuration DockerHub 


Seagull the best friend of docker 


I'm using /inux with kernel 3.15.4-x86 64-linode45, go1.2.1 and Docker 1.2.0. The docker 
deamon has 10 running/stopped containers and 369 images now. Docker is an open 
platform for distributed application for developers and sysadmins, and seagull provides a 
friendly Web UI to monitor docker. 
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Containers Configuration Github 


Containers page display all running Images page display all docker Configuration page display all your Seagull is open source in Github. 
and stopped docker containers. images to start, stop and delete. docker environment and settings. Weicome to contribution and issues. 
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图 21-9 seagull 工 具 


seagull 基 于 Go 和 JavaScript 实 现 的 ， 集 成 了 Beego、AngulaJS、Bootstrap、Bower、JQuery 和 Docker 等 工具 。 它 在 本 地 运行 一 个 Web 服 务 ， 通 过 Beego 实 现 的 API 服 务 器 不 断 请 求 Docker 本 地 套 接 


字 以 管理 Docker。 


使 用 方法 如 下 。 


下 载 镜像 : 


$ sudo docker pull tobegit3hub/seagull 


$ sudo docker run -d -p 10086:10086 -v /var/run/docker.sock:/var/run/docker.socktobegit3hub/seagull 


然后 就 可 以 通过 浏览 器 访问 地 址 http://127.0.0.1:10086 登 录 管理 界面 。 


官方 Dockerfile 如 下 所 示 。 


# Base image is in https://registry.hub.docker.com/ /golang/ 
# Refer to https://blog.golang.org/docker for usage 
FROM golang 

MAINTAINER tobe tobeg3oogleG8gmail.com 

ENV REFREST_AT 20141023 

# ENV GOPATH /go 

# Install dependency 

RUN go get github.com/astaxie/beego 

RUN go get github.com/beego/bee 

RUN go get github.com/tobegit3hub/seagull 

# Go to the folder of seagull 

WORKDIR /go/src/github.com/tobegit3hub/seagull/ 

# Build the project 

RUN go build seagull.go 

# This should be the same as httpport in conf/app.conf 
EXPOSE 10086 

# Run the server 

CMD ["./seagull"] 


214 编程 开发 


由 于 Docker 服 务 端 提供 了 REST 风 格 的 AP1， 通 过 对 这 些 API 进 一 步 地 封装 ， 可 以 提供 给 各 种 开发 语言 作为 Docker 的 使 用 库 。 


这 里 以 docker-py 项 目 为 例 ， 介 绍 在 Python 语言 中 对 Docker 相 关 资 源 进行 操作 。 


安装 docker-py 


$ sudo pip install docker-py 


安装 后 ， 可 以 发 现 ， 代 码 结构 十 分 清晰 ， 主 要 提供 了 Client 类 ， 用 来 封装 提供 用 户 可 以 用 Docker 命 令 执行 的 各 种 操作 ， 包 括 build、run、commit、create_container、info 等 接口 。 


对 REST 接 口 的 调用 是 使 用 了 request 库 。 对 于 这 些 AP1， 用 户 也 可 以 通过 curl 来 进行 调用 测试 。 


使 用 示例 


打开 Python 的 终端 ， 首 先 创建 一 个 Docker 客 户 端 连接 : 


$ sudo python 
>>> import docker 
>>> c = docker.Client (base url-'unix://var/run/docker.sock',version-'1.15',timeout-10) 


通过 info () 方法 查看 Docker 系 统 信息 : 


>>> c.info() 
{u'KernelVersion': u'3.13.0-24-generic', u'NFd': 19, u'MemoryLimit': 1, u'InitShal': u'', u'SwapLimit': 0, u'Driver': u'aufs', u'IndexServerAddress': u'https://index.docker.io/ 


通过 images0 和 containers() 方 法 可 以 查看 本 地 的 镜像 和 容器 的 列表 : 


>>> c.images() 
[(u'Created': 1414108439, u'VirtualSize': 199257566, u'ParentlId': u'22093c35d77bb609b9257ffb2640845ec05018e3d96cb939f68d0e19127f1723', u'RepoTags': [u'ubuntu:latest'], u'Id': v 


>>> C.containers() 
[(u'Status': u'Up 5 seconds', u'Created': 1415086513, u'Image': u'ubuntu:latest', u'Ports': [], u'Command': u'/bin/bash', u'Names': [u'/romantic blackwell'], u'Id': u'f51f2e4cc 


通过 create _container() 方 法 来 创建 一 个 容器 ， 之 后 启动 它 : 


>>> container = c.create container (image-'ubuntu:latest', command-'bash') 

>>> print (container) 

(u'Id': u'a8439e4c8e64a94a287d408fdc3£f9a0b4a8577fe3b5e32975b790afb41414af', u'Warnings': None) 
>>> c.start (container-'a8439e4c8e64a94a287d408fdc3ff9a0b4a8577fe3b5e32975b790afb41414af') 


可 见 ， 所 提供 的 方法 跟 Docker 提 供 的 命令 都 十 分 类 似 。 实 际 上 ， 在 执行 Docker 命 令 的 时 候 ， 也 是 通过 Docker 提 供 的 客户 端 进行 了 封装 ， 并 向 服务 端 发 起 API 请 求 。 


215 ”其 他 项 目 


1.CoreOS 


项 目 官方 网 站 为 https://coreos.com/， 代 码 在 https://github.com/coreos 维 护 。 


CoreOS 项 目 基于 Python 语言 


docker 


容器 


etcd 


CoreOS Host 


图 21 


CoreOs 项 目 目标 是 提供 一 个 基于 Docker 的 轻 量 级 容器 化 Linux 发 行 版 ， 通 过 轻 量 的 系统 架构 和 灵活 的 应 用 


CoreOS 基 于 一 套 精简 的 Linux 环 境 ， 不 使 用 包 管理 工具 ， 而 将 所 有 应 用 都 进行 容 
升级 。 配 合 etcd (一 套 分 布 式 高 可 用 的 键 值 数据 库 ) 、fleet (CoreOS 集 群 的 管理 工 


) 等 工 


该 项 目 目前 得 到 了 KPCB 等 多 家 基金 的 投资 。 


2.Fig 


， 遵 循 Apache 2.0 许 可 ， 由 CoreOs 团 队 在 2013 年 7 月 发 起 ， 目 前 已 经 正式 发 布 首 个 稳定 版 本 ， 如 图 21-10 所 示 。 


docker 


-10 CoreOS 项 目 


行 容器 化 ， 彼 此 隔离 ， 从 而 提高 了 系统 的 安全 性 。 此 外 ， 运 行 期 间 ， 系 统 分 


，CoreOS 也 将 适用 于 在 大 规模 集群 环境 中 进行 使 用 。 


部 署 能 力 来 简化 数据 中 心 的 维护 成 本 和 复杂 


度 。 


区 是 只 读 状态 ， 利 用 主 从 分 


区 支持 更 稳定 的 无 颖 


项 目 官方 网 站 为 http://www.fig.sh， 代 码 在 https://github.com/docker/fig 维 护 。 
Fig 项 目 基 于 Python 语言 ， 由 Docker 公 司 在 2013 年 12 月 发 起 ， 目 前 已 经 正式 发 布 了 1.0 版 本 。 


用 户 在 使 用 Docker 的 过 程 中 往往 会 碰 到 同时 部 署 多 个 容器 并 将 它们 联合 的 需求 ， 比 如 部 署 一 个 web 服 务 容器 和 db 服务 容器 ， 同 时 需要 将 它们 连接 起 来 。 当 容器 数量 较 多 之 后 ， 通 过 手动 写 脚本 来 管理 已 


经 变 得 很 不 方便 了 。 


Fig 项 目 正 是 要 解决 这 个 问题 ， 它 在 同一 个 配置 文件 中 可 以 定义 依赖 的 镜像 和 容器 之 间 的 连接 关系 ， 通 过 一 条 简单 的 命令 完成 部 署 。 


例如 ， 下 面 的 Fig 配 置 文件 (YAML 格 式 ) 给 出 了 同时 使 用 Web 服 务 容 器 和 db 服务 容器 的 一 个 例子 ， 十 分 简单 易 懂 。 


web: 
build: . 
command: python app.py 
links: 
- db 


ports: 
- "8000:8000" 
db: 


image: postgres 


写 好 配置 文件 后 ， 用 户 可 以 通过 执行 figup 命 令 来 自动 启动 相应 容器 ， 完 成 部 署 。 
3.OpenStack 支 持 


OpenStack 是 近 些 年 Linux 基 金 会 发 起 的 ， 最 受 欢 迎 的 云 开 源 项 目 。 项 目的 官方 网 站 在 http://www.openstack.org。 项 目 遵循 Apache 许 可 ， 受 到 包括 IBM、Cisco、AT&T、HP、Rackspace 等 众多 企 


业 的 大 力 支持 。 


项 目的 目标 是 搭建 一 套 开源 的 架构 即 服 务 (Infrastructure as a Service, laaS) 实现 方案 ， 主 要 基于 Python 语 言 实现 。 该 项 目 铬 化 出 来 的 众多 子 项 目 已 经 在 业界 产生 了 诸多 影响 。 


Openstack 目 前 除了 可 以 管理 众多 虚 机 外 ， 其 计算 服务 (Nova) 已 经 支持 了 对 Docker 的 驱动 ， 此 外 ， 还 支持 通过 Stack 管 理 引 擎 Heat 子 项 目 来 使 用 模板 来 管理 Docker 容 器 ， 如 图 21-11 所 示 。 


图 21-11 OpenStack 支 持 Docker 


例如 ， 下 面 的 Heat 模 板 定义 了 使 用 Docker 容 器 运行 一 个 cirros 镜 像 : 


heat template version: 2013-05-23 
description: Single compute instance running cirros in a Docker container. 
resources: 
my instance: 
type: OS::Nova: :Server 
properties: 
key name: ewindisch key 
image: ubuntu-precise 
flavor: ml.large 
user data: (include https://get.docker.io 
my docker container: 
type: DockerInc::Docker::Container 
docker endpoint: ( get attr: [my instance, first address] ] 
image: cirros 


4.dockerize 


IR] 


简化 这 两 方面 的 管理 成 本 ， 目 前 


一 般 来 说 ， 要 将 一 个 应 用 放 到 容器 里 ， 需 要 考虑 两 方面 的 因素 ， 一 是 应 用 依赖 的 配置 信息 ; 另外 一 个 是 应 用 运行 时 候 的 输出 日 志 信息 。dockerize 是 一 个 Go 程序 ， 试 | 
代码 在 https://github.com/jwilder/dockerize 维 护 。 


它 主 要 可 以 提供 两 个 功能 ,一 是 对 于 依赖 于 配置 文件 的 应 用 ， 能 自动 提取 环境 变量 并 生成 配置 文件 ， 另 外 一 个 是 将 应 用 输出 的 日 志 信息 重 定向 到 STDOUT 和 STDERR。 


下 面 给 出 一 个 简单 的 例子 ， 比 如 要 创建 一 个 Nginx 镜 像 ， 标 准 的 Dockerfile 内 容 为 : 


FROM ubuntu:14.04 

# 安装 Nginx 

RUN echo "deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" > /etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN echo "deb-src http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" »» /etc/apt/sources.list.d/nginx-stable-trusty.list 
RUN apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C300EE8C 

RUN apt-get update 

RUN apt-get install -y nginx 

RUN echo "daemon off;" »» /etc/nginx/nginx.conf 

EXPOSE 80 

CMD nginx 


使 用 dockerize， 则 需要 在 最 后 的 CMD 命 令 中 利用 dockerize 进 行 封装 ， 利 用 模板 生成 应 用 配置 文件 ， 并 重 定向 日 志文 件 输出 到 标准 输出 。 


首先 ， 创 建 配置 模板 文件 为 default.tmpl， 内 容 是 : 


server( 
listen 80 default server; 
listen [::]:80 default server ipv6only-on; 


root /usr/share/nginx/html; 
index index.html index.htm; 
4 Make site accessible from http://localhost/ 
server name localhost; 
location / ( 
access log off; 
proxy pass (( .Env.PROXY URL ]); 
proxy set header X-Real-IP $remote addr; 
proxy set header Host $host; T 
proxy set header X-Forwarded-For $proxy add x forwarded for; 


该 模板 将 接收 来 自 环境 变量 PROXY_URL 的 值 。 


编辑 新 的 Dockerfile 内 容 为 : 


FROM ubuntu:14.04 

# 安装 Nginx 

RUN echo "deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" > /etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN echo "deb-src http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" »» /etc/apt/sources.list.d/nginx-stable-trusty.list 
RUN apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C300EE8C 

RUN apt-get update 

RUN apt-get install -y wget nginx 

RUN echo "daemon off;" >> /etc/nginx/nginx.conf 

RUN wget https: //github.com/jwilder/dockerize/releases/download/v0.0.1/dockerize-linux-amd64-v0.0.1.tar.gz 

RUN tar -C /usr/local/bin -xvzf dockerize-linux-amd64-v0.0.1.tar.gz 

ADD default.tmpl /etc/nginx/sites-available/default.tmpl 

EXPOSE 80 

CMD dockerize -template /etc/nginx/sites-available/default.tmpl:/etc/nginx/sites-available/default -stdout /var/log/nginx/access.log -stderr /var/log/nginx/error.log nginx 


最 后 的 CMD 命 令 中 利用 -template 参 数 指定 了 配置 模板 位 置 ， 以 及 生成 的 配置 文件 的 位 置 。 


创建 镜像 后 ， 通 过 如 下 的 方式 启动 一 个 容器 ， 整 个 过 程 无 需 手动 添加 Nginx 的 配置 文件 ， 并 且 日 志 重 定向 到 了 标准 输出 : 


$ sudo docker run -p 80:80 -e PROXY URL-"http://jasonwilder.com" --name nginx -d nginx 


5.libcontainer, libchan, libswarm 


这 三 个 项 目 都 是 2014 年 6 月 Docker 团 队 在 DockerCon 大 会 上 正式 宣布 的 项 目 ， 目 前 还 处 于 快速 发 展 阶段 。 


libcontainer 项 目的 目标 是 实现 容器 技术 的 统一 APIl。2013 年 Linux 内 核 3.12 的 推出 ， 引 入 了 专门 为 容器 技术 考虑 的 一 套 AP1， 已 有 各 种 容器 技术 可 以 使 用 这 套 内 核 APl。 但 各 种 容器 技术 可 以 有 自己 的 实 
现 ， 这 就 造成 其 中 的 应 用 需要 关心 是 运行 在 哪 种 容器 和 平台 上 。libcontainer 项 目 则 试图 为 应 用 提供 统一 的 一 套 AP1， 让 它们 无 需 关心 具体 的 容器 实现 。libcontainer 现 在 已 经 整合 了 Parallels 公 司 所 支持 的 
libct 项 目 (https;//github.com/xemul/libct) ， 并 得 到 了 包括 Red Hat、Google、Canonical、Parallels 等 多 家 公司 的 支持 。Docker 也 计划 逐步 将 依赖 LXC 的 底层 实现 迁移 到 libcontainer 上 。 该 项 目 将 为 
容器 技术 的 发 展 带 来 更 大 的 可 能 性 ， 比 如 实现 多 种 平台 (包括 Windows 平 台 ) 之 间 容 器 的 迁移 。 


libchan 和 libswarm 项 目 都 是 为 了 Docker 容 器 集群 服务 的 。 


libchan 项 目 是 试图 在 不 同 的 网 络 服务 之 间 打 造 一 套 “channel” 系 统 。channel 是 Go 语言 里 的 一 个 概念 ， 为 实现 并 发 情况 下 不 同 goroutine 之 间 交 互 数据 。libchan 所 实现 的 功能 类 似 于 已 有 的 各 种 消息 
系统 ， 但 它 宣称 将 打造 适合 现代 各 种 微型 并 发 服务 的 极 轻 量 级 (ultra-lightweight) 的 网 络 服务 库 ， 并 且 支 持 In-memory Go channel, Unix socket, Raw TCP、TLS、HTTP2/SPDY、Websocket 等 多 
种 协议 。 


[ 
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libswarm 项 目 基于 libchan 项 目 ， 目 标 是 一 套 组 件 网 络 服务 的 最 小 工具 集 。 它 定义 了 在 分 布 式 系统 中 各 种 服务 组 件 之 间 互 相通 信 的 标准 接口 ， 并 且 试 图 实现 一 整套 的 网 络 服务 组 件 。 其 目标 组 件 包括 
Docker Server, Docker Client, SSH tunnel, Etcd, SkyDNS, Mesos, OpenStack Nova, Google Compute 等 能 想到 的 各 种 服务 (大 部 分 还 没有 实现 ) 。 使 用 它 ， 用 户 可 以 在 同一 机 器 上 同时 管理 运 
行 在 不 同 主机 上 的 Docker 容 器 ， 任 意 的 替换 集群 中 的 各 种 服务 ， 包 括 服务 发 现 、DNS。libswarm 实 际 上 是 试图 实现 一 套 基础 系统 ， 其 他 各 种 集群 服务 作为 一 个 功能 模块 与 ibswarm 对 接 。 这 是 一 个 很 宏 达 


D 


的 目标 ， 但 是 可 能 会 引发 与 已 有 自己 基础 系统 实现 的 项 目的 冲突 ， 例 如 kubernetes 等 。 


libcontainer 项 目 网 址 为 : https://github.com/docker/libcontainer, 
libchan 项 目 网 址 为 : https://github.com/docker/libchan, 
libswam 项 目 网 址 为 : https://github.com/docker/libswarm。 


除了 这 些 项 目 外 ， 还 有 一 些 项 目 专注 于 Docker 周 边 的 功能 ,例如 Weave (https://github.com/zettio/weave) 创建 一 个 虚拟 网 络 来 连接 部 署 在 多 台 主 机 上 的 Docker 容 器 ; Flanne| 为 Kubernetes 提 供 
覆盖 网 络 支持 ; SocketPlane 试 图 将 软件 定义 网 络 技术 引入 容器 管理 等 。 由 于 篇 幅 所 限 ， 笔 者 不 在 此 一 一 介绍 ， 感 兴趣 的 读者 可 以 自行 查阅 相关 资料 。 


21.6 “本 章 小 结 


本 章 介绍 了 围绕 Docker 生 态 环境 的 一 些 热门 技术 项 目 ， 包 括 云 平台 构建 、 持 续集 成 、 容 器 管理 和 编程 开发 等 方向 。 


一 项 新 兴 技 术 能 否 成 功 ， 技 术 自 身 的 设计 、 实 现 固 然 重要 ， 但 围绕 技术 的 生态 环境 和 经 济 体系 往往 更 为 关键 。 


笔者 很 欣喜 地 看 到 ，Docker 无 疑 已 经 得 到 了 大 量 的 认同 和 支持 。 


基于 Docker 的 平台 即 服务 和 持续 集成 这 两 大 方面 ， 是 笔者 认为 Docker 技 术 的 所 谓 “杀手 级 应 用 ” (killing apps) 。 这 些 项 目 充分 结合 了 Docker 技 术 的 特点 ， 能 够 充分 地 发 挥 出 使 用 Docker 的 技术 优 
势 。 


在 具体 的 生产 环境 中 使 用 Docker， 则 无 法 绕 开 容器 管理 和 编程 开发 这 两 种 需求 。 特 别 是 大 规模 的 容器 管理 ， 将 是 一 个 颇 有 挑战 的 难题 。 不 断 出 现 的 各 种 方案 ， 特 别 是 有 众多 IT 巨头 支持 的 Kubernetes 将 
在 一 定 程度 上 缓解 这 个 问题 的 难度 ， 但 仍 不 能 说 解决 了 这 个 挑战 。 此 外 ， 众 多 编程 开发 上 的 技术 支持 ， 也 将 加 速 Docker 应 用 的 大 量 产生 。 


最 后 ， 包 括 CoreOS、Fig 等 特色 项 目的 出 现 ， 以 及 Openstack 这 类 项 目 对 Docker 快 速 支持 ， 都 证 明了 在 某 种 意义 上 Docker 在 站 稳 脚 跟 之 后 ， 已 经 开始 引导 整个 技术 体系 的 变革 ， 这 毫 无 疑问 是 整个 信 
息 技 术 产业 发 展 的 大 好 事 ! 
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附录 A ”常见 问题 汇总 


AA 镜像 相关 


1. 如 何 批量 清理 临时 镜像 文件 ? 


答 : 可 以 使 用 sudo docker rmi $(sudo docker images -q -f dangling =true) 命 令 。 


2. 如 何 查看 镜像 支持 的 环境 变量 ? 


答 : 可 以 使 用 sudo docker run IMAGE env 命 令 。 


3. 本 地 的 镜像 文件 都 存放 在 哪里 ? 


答 : 与 Docker 相 关 的 本 地 资源 都 存放 在 /varVlib/docker 目 录 下 ， 其 中 container 目 录 存 放 容 器 信息 ，graph 目 录 存 放 镜 像 信息 ，aufs 目 录 下 存放 具体 的 镜像 层 文件 。 


4 构建 Docker 镜 像 应 该 遵循 哪些 原则 ? 

E 整体 原则 上 ， 尽 量 保持 镜像 功能 的 明确 和 内 容 的 精简 ， 要 点 包括 : 

“ 尽量 选取 满足 需求 但 较 小 的 基础 系统 镜像 ， 例 如 大 部 分 时 候 可 以 选择 debian: wheezy 镜 像 ， 仅 有 85MB 大 小 。 
“ 清理 编译 生成 文件 、 安 装 包 的 缓存 等 临时 文件 。 

“ 安装 各 个 软件 时 候 要 指定 准确 的 版 本 号 ， 并 避免 引入 不 需要 的 依赖 。 

“ 从 安全 角度 考虑 ， 应 用 要 尽量 使 用 系统 的 库 和 依赖 。 

“ 如果 安装 应 用 时 候 需 要 配置 一 些 特殊 的 环境 变量 ， 在 安装 后 要 还 原 不 需要 保持 的 变量 值 。 


- 使 用 Dockerfile 创 建 镜像 时 候 要 添加 .docketignore 文 件 或 使 用 干净 的 工作 目录 。 


A2 容器 相关 


1. 容 器 退出 后 ， 通 过 docker ps 命令 查看 不 到 ， 数 据 会 丢失 么 ? 


答 : 容器 退出 后 会 处 于 终止 (exited) 状态 ， 此 时 可 以 通过 docker ps -a 查看 。 其 中 的 数据 也 不 会 丢失 ， 还 可 以 通过 docker start 命 令 来 启动 它 。 只 有 删除 掉 容器 才 会 清除 所 有 数据 。 


2. 如 何 停止 所 有 正在 运行 的 容器 ? 


答 : 可 以 使 用 sudo docker kill $(sudo docker ps -q) 命 令 。 


3. 如 何 清 理 批量 后 台 停止 的 容器 ? 


答 : 可 以 使 用 sudo docker rm $(sudo docker ps -a -q) 命 令 。 


4 如何 给 容器 指定 一 个 固定 IP 地 址 ， 而 不 是 每 次 重启 容器 |P 地 址 都 会 变 ? 


答 : 参考 本 书 第 21 章 中 介绍 的 pipwork 工 具 。 
5. 如 何 临 时 退出 一 个 正在 交互 的 容器 的 终端 ， 而 不 终止 它 ? 


25: 按 Ctrl-p Ctrl-q。 如 果 按 Ctrl-c 往 往 会 让 容器 内 应 用 进程 终止 ， 进 而 会 终止 容器 。 


6. 很 多 应 用 容器 都 是 默认 后 台 运 行 的 ， 怎 么 查看 它们 的 输出 和 日 志 信 息 ? 


答 : 使 用 docker logs 命 令 ， 后 面 跟 容器 名 称 或 1D 信 息 。 


7. 使 用 “docker port” 命 令 映射 容器 的 端口 时 ， 系 统 报错 Error: No public port '80' published for e7d817698b6f， 是 什么 意思 ? 


“外 


镜像 时 Dockerfile 要 指定 正确 的 EXPOSE 的 端口 。 


' 容器 启动 时 指定 PublishAllPort=true。 


8. 可 以 在 一 个 容器 中 同时 运行 多 个 应 用 进程 吗 ? 


答 : 一 般 并 不 推荐 在 同一 个 容器 内 运行 多 个 应 用 进程 。 如 果 有 类 似 需求 ， 可 以 通过 一 些 额外 的 进程 管理 机 制 ， 比 如 supervisord 来 管理 所 运行 的 进程 。 可 以 参 


ZEhttps:;//docs.docker.com/articles/using supervisord/. 


9. 如 何 控制 容器 占用 系统 资源 (CPU、 内 存 ) 的 份额 ? 


答 : 在 使 用 docker create 命 令 创 建 容器 或 使 用 docker run 创 建 并 启动 容器 的 时 候 ， 可 以 使 用 -c|--cpu-shares[=0] 参 数 来 调整 容器 使 用 CPU 的 权重 ; 使 用 m|--memory[=MEMORY] 参 数 来 调整 容器 使 


内 存 的 大 小 。 


A3 仓库 相关 


1. 仓 库 (Repository) 、 注 册 服 务 器 (Registry) 、 注 册 索 引 (Index) 有 何 关系 ? 


答 : 首先 ， 仓 库 是 存放 一 组 关联 镜像 的 集合 ， 比 如 同一 个 应 用 的 不 同 版 本 的 镜像 。 注 册 服 务 器 是 存放 实际 的 镜像 文件 的 地 方 。 注 册 索引 则 负责 维护 用 户 的 账号 、 权 限 、 搜 索 、 标 签 等 的 管理 。 


册 服 务 器 利用 注册 索引 来 实现 认证 等 管理 。 


2. 从 非 官方 仓库 (例如 dl.dockerpool.com) 下 载 镜像 时 候 ， 有 时 候 会 提示 “Error: Invalid registry endpointhttps://dl.dockerpool.com: 5000/v1/......" ? 


答 : Docker 自 1.3.0 版 本 往 后 ， 加 强 了 对 镜像 安全 性 的 验证 ， 需 要 手动 添加 对 非 官方 仓库 的 信任 。 


编辑 Docker 配 置 文件 ， 在 其 中 添加 : 


DOCKER OPTS-"--insecure-registry dl.dockerpool.com:5000" 


因此 , ix 


之 后 ， 重 启 Docker 服 务 即 可 。 


A4 配置 相关 


1.Docker 的 配置 文件 放 在 哪里 ， 如 何 修改 配置 ? 


答 : Ubuntu 系 统 的 配置 文件 是 /etc/default/docker，Centos 系 统 的 配置 文件 放 在 /etc/sysconfig/docker。Ubuntu 下 面 的 配置 文件 内 容 如 下 ， 读 者 可 以 参考 配 。 
启 或 者 自己 新 建 一 个 文件 都 可 以 解决 。) 


(如 果 出 现 该 文件 不 存在 的 情况 ， 


中 
Tai 


# Docker Upstart and SysVinit configuration file 

# Customize location of Docker binary (especially for development testing). 
DOCKER-" /usr/local/bin/docker" 

4 Use DOCKER OPTS to modify the daemon startup options. 

DOCKER OPTS-"--dns 8.8.8.8 --dns 8.8.4.4" 

# If you need Docker to use an HTTP proxy, it can also be specified here. 
export http proxy-"http://127.0.0.1:3128/" 

# This is also a handy place to tweak where Docker's temporary files go. 
export TMPDIR-"/mnt/bigdrive/docker-tmp" 


2. 如 何 更 改 Docker 的 默认 存储 位 置 ? 


答 : Docker 的 默认 存储 位 置 是 /var/lib/docker， 如 果 希 望 将 Docker 的 本 地 文件 存储 到 其 他 分 区 ， 可 以 使 用 Linux 软 连接 的 方式 来 完成 。 


例如 ， 如 下 操作 将 默认 存储 位 置 迁移 到 /storage/docker: 


[root@s26 ~]# df -h 


Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/VolGroup-lv root 50G 5.3G 42G 12$ / 

tmpfs x 48G 228K  48G 1$ /dev/shm 
/dev/sdal 485M | 40M 420M 9$ /boot 
/dev/mapper/VolGroup-lv home 222G 188M 210G 1$ /home 
/dev/sdb2 2.7T 323G 2.3T 13$ /storage 


[root8s26 ~]# service docker stop 

[root@s26 ~]# cd /var/lib/ 

[root@s26 lib]# mv docker /storage/ 

[rootés26 lib]# 1n -s /storage/docker/ docker 

[root@s26 lib]# ls -la docker 

lrwxrwxrwx. 1 root root 15 11Ħ 17 13:43 docker -> /storage/docker 
[root@s26 lib]# service docker start 


A5 ”Docker 与 虚拟 化 


1.Docker 与 LXC (Linux Container) 有 何不 同 ? 


2: LXC 利 用 Linux 上 相关 技术 实现 了 容器 。Docker 则 在 如 下 的 几 个 方面 进行 了 改进 : 


- 移植 性 : 通过 抽象 容器 配置 ， 容 器 可 以 实现 从 一 个 平台 移植 到 另 一 个 平台 ; 

“ 镜像 系统 : 基于 AUFS 的 镜像 系统 为 容器 的 分 发 带 来 了 很 多 的 便利 ， 同 时 共同 的 镜像 层 只 需要 存储 一 份 ， 实 现 高 效率 的 存储 ; 

“ 版 本 管理 : 类 似 于 Git 的 版 本 管理 理念 ， 用 户 可 以 更 方便 的 创建 、 管 理 镜像 文件 ; 

“ 仓库 系统 : 仓库 系统 大 大 降低 了 镜像 的 分 发 和 管理 的 成 本 ; 

“ 周边 工具 : 各 种 现 有 工具 (配置 管理 、 云 平台 ) 对 Docker 的 支持 ， 以 及 基于 Docker 的 PaaS、CI 等 系统 ， 让 Docker 的 应 用 更 加 方便 和 多 样 化 。 
2.Docker 与 Vagrant 有 何不 同 ? 

答 : 两 者 的 定位 完全 不 同 。 


* Vagrant 类 似 于 Boot2Docker (一 款 运行 Docket 的 最 小 内 核 ) ， 是 一 套 虚拟 机 的 管理 环境 。Vagrant 可 以 在 多 种 系统 上 和 虚拟 机 软件 中 运行 ， 可 以 在 Windows、Mac 等 非 Linux 平 台 上 为 Docker 提 供 支持 ， 自 
身 具有 较 好 的 包装 性 和 移植 性 。 


“原生 的 Docker 自 身 只 能 运行 在 Linux 平 台 上 ， 但 启动 和 运行 的 性 能 都 比 虚拟 机 要 快 ， 往 往 更 适合 快速 开发 和 部 署 应 用 的 场景 。 


简单 说 : Vagrant 适 合用 来 管理 虚拟 机 ， 而 Docker 适 合用 来 管理 应 用 环境 。 


3. 开 发 环境 中 Docker 和 Vagrant 该 如 何 选 择 ? 


答 : Docker 不 是 虚拟 机 ， 而 是 进程 隔离 ， 对 于 资源 的 消耗 很 少 ， 但 是 目前 需要 Linux 环 境 支持 。Vagrant 是 虚拟 机 上 做 的 封装 ， 虚 拟 机 本 身 会 消耗 资源 。 


如 果 本 地 使 用 的 Linux 环 境 ， 推 荐 都 使 用 Docker。 


~ 


如 果 本 地 使 用 的 是 OSX 或 者 Windows 环 境 ， 那 就 需要 开 虚 拟 机 ， 单 一 开发 环境 下 vagrant 更 简单 ;多 环境 开发 下 推荐 在 vagrant 里 面 再 使 用 Docker 进 行 环境 隔离 。 


A6 其 他 问题 


1.Docker 能 在 非 Linux 平 台 (比如 Windows 或 MacOS) 上 运行 吗 ? 


答 : 可 以 ， 但 需要 使 用 boot2docker 等 软件 创建 一 个 轻 量 级 的 Linux 虚 拟 机 | 


部 


2. 如 何 将 一 台 宿 主 主机 的 docker 环 境 迁 移 到 另外 一 台 宿 主 主机 ? 
答 : 停止 Docker 服 务 。 将 整个 docker 存 储 文件 夹 复制 到 另外 一 台 宿 主 主机 ， 然 后 调整 另外 一 台 宿 主 主机 的 配置 即 可 。 


3. 创 建 Docker 容 器 后 ， 在 宿主 机 用 “ip netns show" 为 何 看 不 到 容器 的 网 络 名 字 空 间 ? 


答 : Docker 在 创建 容器 后 ， 删 除了 /var/run/netns 目 录 中 的 网 络 名 字 空 间 文件 。 因 此 ， 可 以 手动 恢复 它 。 


首先 ， 使 用 下 面 的 命令 查看 容器 进程 信息 ， 比 如 这 里 的 1234。 


$ sudo docker inspect --format-'((. State.Pid)) ' $container id 
1234 


接 下 来 ， 在 /proc 目 录 下 ， 把 对 应 的 网 络 名 字 空 间 文 件 链接 到 /var/run/netns 目 录 。 


$ sudo ln -s /proc/1234/ns/net /var/run/netns/ 


然后 ， 就 可 以 通过 正常 的 系统 命令 来 查看 或 操作 容器 的 名 字 空 间 了 。 例 如 


$ sudo ip netns show 
1234 


附录 B ”常见 仓库 


本 章 将 介绍 常见 的 仓库 和 镜像 的 功能 、 使 用 方法 和 生成 它们 的 Dockerfile 等 ,包括 Ubuntu、CentOS、MySQL、MongoDB、Redis、Nginx、Wordpress、Node.js 等 。 


B.1 Ubuntu 


基本 信息 


Ubuntu 是 流行 的 Linux 发 行 版 ， 其 自 带 软件 版 本 往往 较 新 一 些 。 


使 用 方法 


该 仓库 提供 了 Ubuntu 从 12.04~14.10 各 个 版 本 的 镜像 。 


默认 会 启动 一 个 最 小 化 的 Ubuntu 环境 。 


$ sudo docker run --name some-ubuntu -i -t ubuntu 
root@523c70904d54:/# 


Dockerfile 


12.04 版 本 


FROM scratch 
ADD precise-core-amd64.tar.gz / 
# a few minor docker-specific tweaks 
4 see https: //github.com/dotcloud/docker/blob/master/contrib/mkimage/debootstrap 
RUN echo '#!/bin/sh' > /usr/sbin/policy-rc.d V 
&& echo 'exit 101' >> /usr/sbin/policy-rc.d \ 
&& chmod +x /usr/sbin/policy-rc.d \ 
N 
&& dpkg-divert --local --rename --add /sbin/initctl V 
&& cp -a /usr/sbin/policy-rc.d /sbin/initctl V 
&& sed -i 's/^exit.*/exit 0/' /sbin/initctl \ 
N 
&& echo 'force-unsafe-io' > /etc/dpkg/dpkg.cfg.d/docker-apt-speedup \ 
N 


&& echo 'DPkg::Post-Invoke ( "rm -f /var/cache/apt/archives/*.deb /var/cache/apt/archives/partial/*.deb /var/cache/apt/*.bin || true"; 


&& echo 'APT 


pdat: 
N 


&& echo 'Acquire::Languages "none";' > /etc/apt/apt.conf.d/docker-no-languages \ 


N 


&& echo 'Acquire::GzipIndexes "true"; Acquire::CompressionTypes::Order:: "gz";' » /etc/apt/apt.conf.d/docker-gzip-indexes 


# delete all the apt list files since they're big and get stale quickly 

RUN rm -rf /var/lib/apt/lists/* 

# this forces "apt-get update" in dependent images, which is also good 

# enable the universe 

RUN sed -i 's/^#\s*\ (deb. *universeV) $/M/g' /etc/apt/sources.list 

# upgrade packages for now, since the tarballs aren't updated frequently enough 
RUN apt-get update && apt-get dist-upgrade -y && rm -rf /var/lib/apt/lists/* 

# overwrite this with 'CMD []' in a dependent Dockerfile 

CMD ["/bin/bash"] 


PM 
:Post-Invoke ( "rm -f /var/cache/apt/archives/*.deb /var/cache/apt/archives/partial/*.deb /var/cache/apt/*.bin || true"; );' >> /etc/apt/apt.conf.d/doc 
&& echo 'Dir::Cache::pkgcache ""; Dir::Cache::srcpkgcache "";' >> /etc/apt/apt.conf.d/docker-clean \ 


> /etc/apt/apt.conf.d/docker-cle& 


14.04 版 本 


FROM scratch 
ADD trusty-core-amd64.tar.gz / 
# a few minor docker-specific tweaks 
# see https: //github.com/dotcloud/docker/blob/master/contrib/mkimage/debootstrap 
RUN echo '#!/bin/sh' > /usr/sbin/policy-rc.d \ 
&& echo 'exit 101' >> /usr/sbin/policy-rc.d N 
&& chmod +x /usr/sbin/policy-rc.d N 
N 
&& dpkg-divert --local --rename --add /sbin/initctl \ 
&& cp -a /usr/sbin/policy-rc.d /sbin/initctl \ 
&& sed -i 's/^exit.*/exit 0/' /sbin/initctl \ 
N 
x echo 'force-unsafe-io' > /etc/dpkg/dpkg.cfg.d/docker-apt-speedup \ 


&& echo 'DPkg::Post-Invoke ( "rm -f /var/cache/apt/archives/*.deb /var/cache/apt/archives/partial/*.deb /var/cache/apt/*.bin || true"; 


&& echo 'APT 


Ipdat: 
N 


&& echo 'Acquire::Languages "none";' > /etc/apt/apt.conf.d/docker-no-languages \ 


N 


&& echo 'Acquire::GzipIndexes "true"; Acquire::CompressionTypes::Order:: "gz";' » /etc/apt/apt.conf.d/docker-gzip-indexes 


# delete all the apt list files since they're big and get stale quickly 

RUN rm -rf /var/lib/apt/lists/* 

# this forces "apt-get update" in dependent images, which is also good 

# enable the universe 

RUN sed -i 's/^#\s*\ (deb.*universeV) $/M/g' /etc/apt/sources.list 

# upgrade packages for now, since the tarballs aren't updated frequently enough 
RUN apt-get update && apt-get dist-upgrade -y && rm -rf /var/lib/apt/lists/* 

# overwrite this with 'CMD []' in a dependent Dockerfile 

CMD ["/bin/bash"] 


zt 
:Post-Invoke ( "rm -f /var/cache/apt/archives/*.deb /var/cache/apt/archives/partial/*.deb /var/cache/apt/*.bin || true"; );' >> /etc/apt/apt.conf.d/doc 
&& echo 'Dir::Cache::pkgcache ""; Dir::Cache::srcpkgcache "";' >> /etc/apt/apt.conf.d/docker-clean \ 


> /etc/apt/apt.conf.d/docker-cle& 


14.10 版 本 


FROM scratch 
ADD utopic-core-amd64.tar.gz / 
# a few minor docker-specific tweaks 
4 see https: //github.com/dotcloud/docker/blob/master/contrib/mkimage/debootstrap 
RUN echo '#!/bin/sh' > /usr/sbin/policy-rc.d V 
&& echo 'exit 101' >> /usr/sbin/policy-rc.d \ 
&& chmod +x /usr/sbin/policy-rc.d V 
N 
&& dpkg-divert --local --rename --add /sbin/initctl \ 
&& cp -a /usr/sbin/policy-rc.d /sbin/initctl V 
&& sed -i 's/^exit.*/exit 0/' /sbin/initctl \ 
N 
&& echo 'force-unsafe-io' > /etc/dpkg/dpkg.cfg.d/docker-apt-speedup \ 
N 


&& echo 'DPkg::Post-Invoke ( "rm -f /var/cache/apt/archives/*.deb /var/cache/apt/archives/partial/*.deb /var/cache/apt/*.bin || true"; 


&& echo 'APT::Updat 
&& echo 'Dir::Cache::pkgcache ""; Dir::Cache::srcpkgcache "";' >> /etc/apt/apt.conf.d/docker-clean V 
N 


&& echo 'Acquire::Languages "none";' > /etc/apt/apt.conf.d/docker-no-languages \ 


N 


&& echo 'Acquire::GzipIndexes "true"; Acquire::CompressionTypes::Order:: "gz";' » /etc/apt/apt.conf.d/docker-gzip-indexes 


# delete all the apt list files since they're big and get stale quickly 

RUN rm -rf /var/lib/apt/lists/* 

# this forces "apt-get update" in dependent images, which is also good 

# enable the universe 

RUN sed -i 's/^#\s*\ (deb.*universeV) $/M/g' /etc/apt/sources.list 

# upgrade packages for now, since the tarballs aren't updated frequently enough 
RUN apt-get update && apt-get dist-upgrade -y && rm -rf /var/lib/apt/lists/* 

# overwrite this with 'CMD []' in a dependent Dockerfile 

CMD ["/bin/bash"] 


n 
:Post-Invoke ( "rm -f /var/cache/apt/archives/*.deb /var/cache/apt/archives/partial/*.deb /var/cache/apt/*.bin || true"; );' >> /etc/apt/apt.conf.d/doc 


> /etc/apt/apt.conf.d/docker-cles 


B.2 CentOS 


基本 信息 


CentOs 是 流行 的 Linux 发 行 版 ， 其 软件 包 大 多 跟 RedHat 系 列 保持 一 致 。 该 仓库 提供 了 CentOS 从 5~7 各 个 版 本 的 镜像 。 


使 用 方法 


默认 会 启动 一 个 最 小 化 的 CentOS 环 境 : 


$ sudo docker run --name some-centos -i -t centos bash 
bash-4.21 


Dockerfile 


CentOS 5 版 本 


FROM scratch 
MAINTAINER The CentOS Project «cloud-ops8centos.org» - ami creator 
ADD centOS-5-20140926 1219-docker.tar.xz / 


CentOS 6 版 本 


FROM scratch 
MAINTAINER The CentOS Project «cloud-ops8centos.org» - ami creator 
ADD CentOS-6-20140926 1219-docker.tar.xz / 


CentOS 7 版 本 


FROM scratch 
MAINTAINER The CentOS Project «cloud-ops8centos.org» - ami creator 
ADD CentOS-7-20140926 1219-docker.tar.xz / 


B3 MySQL 


基本 信息 


MySQL 是 开源 的 关系 数据 库 实现 。 该 仓库 提供 了 MySQL 各 个 版 本 的 镜像 ， 包 括 5.6 系 列 、5.7 系 列 等 。 


使 用 方法 


默认 会 在 3306 端 口 启动 数据 库 : 


$ sudo docker run --name some-mysql -e MYSQL ROOT PASSWORD-mysecretpassword -d mysql 


之 后 就 可 以 使 用 其 他 应 用 来 连接 到 该 容器 : 


$ sudo docker run --name some-app --link some-mysql:mysql -d application-that-uses-mysql 


或 者 通过 mysql: 


$ sudo docker run -it --link some-mysql:mysql --rm mysql sh -c 'exec mysql -h"$MYSQL PORT 3306 TCP ADDR" -P"$MYSQL PORT 3306 TCP PORT" -uroot -p"SMYSQL ENV MYSQL ROOT PASSWORD" 
Dockerfile 


Dockerfile 


5.6 版 本 


FROM debian:wheezy 
# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added 
RUN groupadd -r mysql && useradd -r -g mysql mysql 
# FATAL ERROR: please install the following Perl modules before executing /usr/local/mysql/scripts/mysql install db: 
# File::Basename 
# File::Copy 
4 Sys::Hostname 
# Data::Dumper 
RUN apt-get update && apt-get install -y perl --no-install-recommends && rm -rf /var/lib/apt/lists/* 
# mysqld: error while loading shared libraries: libaio.so.1: cannot open shared object file: No such file or directory 
RUN apt-get update && apt-get install -y libaiol && rm -rf /var/lib/apt/lists/* 
# gpg: key 5072E1F5: public key "MySQL Release Engineering «mysgl-build(oss.oracle.com»" imported 
RUN gpg --keyserver pgp.mit.edu --recv-keys A4A9406876FCBD3C456770C88C718D3B5072bE1F5 
ENV MYSQL MAJOR 5.6 
ENV MYSQL VERSION 5.6.20 
# note: we're pulling the *.asc file from mysgl.he.net instead of dev.mysql.com because the official mirror 404s that file for whatever reason - maybe it's at a different path: 
RUN apt-get update && apt-get install -y curl --no-install-recommends && rm -rf /var/lib/apt/lists/* \ 
&& curl -SL "http://dev.mysql.com/get/Downloads/MySQL-SMYSQL MAJOR/mysql- 
$MYSQL VERSION-linux-glibc2.5-x86 64.tar.gz" -o mysql.tar.gz \ 
&& curl -SL "http://mysql.he.net/Downloads/MySQL-$MYSQL MAJOR/mysql-$MYSQL | 
VERSION-linux-glibc2.5-x86 64.tar.gz.asc" -o mysql.tar.gz.asc \ 
&& apt-get purge -y --auto-remove curl \ 
&& gpg --verify mysql.tar.gz.asc V 
&& mkdir /usr/local/mysql \ 
&& tar -xzf mysql.tar.gz -C /usr/local/mysql --strip-components-1l V 
&& rm mysql.tar.gz* \ 
&& rm -rf /usr/local/mysql/mysql-test /usr/local/mysql/sql-bench \ 
&& rm -rf /usr/local/mysql/bin/*-debug /usr/local/mysql/bin/* embedded V 
&& find /usr/local/mysql -type f -name "*.a" -delete V 
&& apt-get update && apt-get install -y binutils && rm -rf /var/lib/apt/ 
lists/* V 


&& ( find /usr/local/mysql -type f -executable -exec strip --strip-all '()' + || true; ) V 
&& apt-get purge -y --auto-remove binutils 

ENV PATH SPATH:/usr/local/mysql/bin:/usr/local/mysql/scripts 

WORKDIR /usr/local/mysql 

VOLUME /var/lib/mysql 

COPY docker-entrypoint.sh /entrypoint.sh 

ENTRYPOINT ["/entrypoint.sh"] 

EXPOSE 3306 

CMD ["mysqld", "--datadir-/var/lib/mysql", "--user-mysql"] 


5.7 版 本 


FROM debian:wheezy 

# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added 
RUN groupadd -r mysql && useradd -r -g mysql mysql 

# FATAL ERROR: please install the following Perl modules before executing /usr/local/mysql/scripts/mysql install db: 

# File::Basename T i 


# File::Copy 
# Sys::Hostname 
# Data::Dumper 


RUN apt-get update && apt-get install -y perl --no-install-recommends && rm -rf /var/lib/apt/lists/* 
# mysqld: error while loading shared libraries: libaio.so.1: cannot open shared object file: No such file or directory 
RUN apt-get update && apt-get install -y libaiol && rm -rf /var/lib/apt/lists/* 
# gpg: key 5072ElF5: public key "MySQL Release Engineering «mysql-build6oss.oracle.com»" imported 
RUN gpg --keyserver pgp.mit.edu --recv-keys A4A9406876FCBD3C456770C88C718D3B5072bE1F5 
ENV MYSQL MAJOR 5.7 
ENV MYSQL VERSION 5.7.4-m14 
# note: we're pulling the *.asc file from mysql.he.net instead of dev.mysql.com because the official mirror 404s that file for whatever reason - maybe it's at a different path? 
RUN apt-get update && apt-get install -y curl --no-install-recommends && rm -rf /var/lib/apt/lists/* \ 
&& curl -SL "http://dev.mysql.com/get/Downloads/MySQL-SMYSQL MAJOR/mysql- 
$MYSQL VERSION-linux-glibc2.5-x86 64.tar.gz" -o mysql.tar.gz \ 
&& curl -SL "http://mysql.he.net/Downloads/MySQL-$MYSQL MAJOR/mysql-$MYSQL VERSION-linux-glibc2.5-x86 64.tar.gz.asc" -o mysql.tar.gz.asc V 
&& apt-get purge -y --auto-remove curl \ 
&& gpg --verify mysql.tar.gz.asc V 
&& mkdir /usr/local/mysql N 
&& tar -xzf mysql.tar.gz -C /usr/local/mysql --strip-components-1l V 
&& rm mysql.tar.gz* \ 
&& rm -rf /usr/local/mysql/mysql-test /usr/local/mysql/sql-bench \ 
&& rm -rf /usr/local/mysql/bin/*-debug /usr/local/mysql/bin/* embedded V 
&& find /usr/local/mysql -type f -name "*.a" -delete \ 
&& apt-get update && apt-get install -y binutils && rm -rf /var/lib/apt/ 
lists/* N 
&& ( find /usr/local/mysql -type f -executable -exec strip --strip-all '()' + || true; ) V 
&& apt-get purge -y --auto-remove binutils 
ENV PATH SPATH:/usr/local/mysql/bin:/usr/local/mysql/scripts 
WORKDIR /usr/local/mysql 
VOLUME /var/lib/mysql 
COPY docker-entrypoint.sh /entrypoint.sh 
ENTRYPOINT ["/entrypoint.sh"] 
EXPOSE 3306 
CMD ["mysqld", "--datadir-/var/lib/mysql", "--user-mysql"] 


B.4 MongoDB 
基本 信息 


MongoDB 是 开源 的 NoSQL 数 据 库 实现 。 该 仓库 提供 了 MongoDB2.2~2.7 各 个 版 本 的 镜像 。 


使 用 方法 


默认 会 在 27017 端 口 启动 数据 库 : 


$ sudo docker run --name some-mongo -d mongo 


使 用 其 他 应 用 连接 到 容器 ， 可 以 


$ sudo docker run --name some-app --link some-mongo:mongo -d application-that-uses-mongo 


或 者 通过 mongo: 


$ sudo docker run -it --link some-mongo:mongo --rm mongo sh -c 'exec mongo "$MONGO PORT 27017 TCP ADDR:$MONGO PORT 27017 TCP PORT/test"' 


Dockerfile 


2.2 版 本 


FROM debian:wheezy 
# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added 
RUN groupadd -r mongodb && useradd -r -g mongodb mongodb 
RUN apt-get update V 
&& apt-get install -y curl V 
&& rm -rf /var/lib/apt/lists/* 
RUN curl -o /usr/local/bin/gosu -SL 'https://github.com/tianon/gosu/releases/download/1l.1/gosu' N 
&& chmod *x /usr/local/bin/gosu 
RUN gpg --keyserver pgp.mit.edu --recv-keys 3AFEF01FE92B6927CClEEC80F564179A36496327 
ENV MONGO VERSION 2.2.7 
RUN curl -SL "https://fastdl.mongodb.org/linux/mongodb-linux-x86 64-$MONGO VERSION.tgz" -o mongo.tgz \ 
&& curl -SL "https://fastdl.mongodb.org/linux/mongodb-linux-x86 64-$MONGO 
VERSION.tgz.sig" -o mongo.tgz.sig \ E m 
&& gpg --verify mongo.tgz.sig \ 
&& tar -xvf mongo.tgz -C /usr/local --strip-components-1 V 
&& rm mongo.tgz* 
VOLUME /data/db 
COPY docker-entrypoint.sh /entrypoint.sh 
ENTRYPOINT ["/entrypoint.sh"] 
EXPOSE 27017 
CMD ["mongod"] 


2.4 版 本 


FROM debian:wheezy 
# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added 
RUN groupadd -r mongodb && useradd -r -g mongodb mongodb 
RUN apt-get update V 
&& apt-get install -y curl \ 
&& rm -rf /var/lib/apt/lists/* 


RUN curl -o /usr/local/bin/gosu -SL 'https://github.com/tianon/gosu/releases/download/1.1/gosu' \ 
&& chmod *x /usr/local/bin/gosu 

RUN gpg --keyserver pgp.mit.edu --recv-keys CEAIE18DDA77EF4E67884FF2A6982D0160456C5A 

ENV MONGO VERSION 2.4.11 

RUN curl -SL "https://fastdl.mongodb.org/linux/mongodb-linux-x86 64-$MONGO VERSION.tgz" -o mongo.tgz \ 
&& curl -SL "https://fastdl.mongodb.org/linux/mongodb-linux-x86 64-$MONGO 

VERSION.tgz.sig" -o mongo.tgz.sig \ 
&& gpg --verify mongo.tgz.sig \ 
&& tar -xvf mongo.tgz -C /usr/local --strip-components-1l \ 
&& rm mongo.tgz* 

VOLUME /data/db 

COPY docker-entrypoint.sh /entrypoint.sh 

ENTRYPOINT ["/entrypoint.sh"] 

EXPOSE 27017 

CMD ["mongod"] 


2.6 版 本 


FROM debian:wheezy 
# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added 
RUN groupadd -r mongodb && useradd -r -g mongodb mongodb 
RUN apt-get update V 
&& apt-get install -y curl \ 
&& rm -rf /var/lib/apt/lists/* 
RUN curl -o /usr/local/bin/gosu -SL 'https://github.com/tianon/gosu/releases/download/1.1/gosu' \ 
&& chmod *x /usr/local/bin/gosu 
RUN gpg --keyserver pgp.mit.edu --recv-keys DFFA3DCF326E302C4787673A01C4E7FAAAB2461C 
ENV MONGO VERSION 2.6.4 
RUN curl -SL "https://fastdl.mongodb.org/linux/mongodb-linux-x86 64-$MONGO VERSION.tgz" -o mongo.tgz V 
&& curl -SL "https://fastdl.mongodb.org/linux/mongodb-linux-x86 64-$MONGO - 
VERSION.tgz.sig" -o mongo.tgz.sig \ 
&& gpg --verify mongo.tgz.sig \ 
&& tar -xvf mongo.tgz -C /usr/local --strip-components-1l VN 
&& rm mongo.tgz* 
VOLUME /data/db 
COPY docker-entrypoint.sh /entrypoint.sh 
ENTRYPOINT ["/entrypoint.sh"] 
EXPOSE 27017 
CMD ["mongod"] 


2.7 版 本 


FROM debian:wheezy 
# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added 
RUN groupadd -r mongodb && useradd -r -g mongodb mongodb 
RUN apt-get update V 
&& apt-get install -y curl \ 
&& rm -rf /var/lib/apt/lists/* 
RUN curl -o /usr/local/bin/gosu -SL 'https://github.com/tianon/gosu/releases/download/1.1/gosu' \ 
&& chmod *x /usr/local/bin/gosu 
RUN gpg --keyserver pgp.mit.edu --recv-keys BDCODB28022D7DEA1490DC3E7085801C857FD301 
ENV MONGO VERSION 2.7.6 
RUN curl -SL "https://fastdl.mongodb.org/linux/mongodb-linux-x86 64-$MONGO VERSION.tgz" -o mongo.tgz V 
&& curl -SL "https://fastdl.mongodb.org/linux/mongodb-linux-x86 64-$MONGO - 
VERSION.tgz.sig" -o mongo.tgz.sig \ 
&& gpg --verify mongo.tgz.sig \ 
&& tar -xvf mongo.tgz -C /usr/local --strip-components-1l \ 
&& rm mongo.tgz* 
VOLUME /data/db 
COPY docker-entrypoint.sh /entrypoint.sh 
ENTRYPOINT ["/entrypoint.sh"] 
EXPOSE 27017 
CMD ["mongod"] 


B.5 Redis 


基本 信息 


Redis 是 开源 的 内 存 键 值 数据 库 实现 ， 该 仓库 提供 了 Redis2.6~2.8.9 各 个 版 本 的 镜像 。 


使 用 方法 


默认 会 在 6379 端 口 启动 数据 库 : 


$ sudo docker run --name some-redis -d redis 


另外 还 可 以 启用 持久 存储 : 


$ sudo docker run --name some-redis -d redis redis-server --appendonly yes 


默认 数据 存储 位 置 在 VOLUME/data。 可 以 使 用 --volumes-from some-volume-containergg-v/docker/host/dir: /data 将 数据 存放 到 本 地 。 


使 用 其 他 应 用 连接 到 容器 ， 可 以 用 : 


$ sudo docker run --name some-app --link some-redis:redis -d application-that-uses-redis 


或 者 通过 redis-cli: 


$ sudo docker run -it --link some-redis:redis --rm redis sh -c 'exec redis-cli -h "$REDIS PORT 6379 TCP ADDR" -p "SREDIS PORT 6379 TCP PORT"' 


Dockerfile 


2.6 版 本 


FROM debian:wheezy 
# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added 
RUN groupadd -r redis && useradd -r -g redis redis 
ENV REDIS VERSION 2.6.17 
ENV REDIS DOWNLOAD URL http: //download.redis.io/releases/redis-2.6.17.tar.gz 
ENV REDIS DOWNLOAD SHA1 b5423e1c423d502074cbd0b21bd4e82040982003 
RUN buildDeps-'gcc libc6-dev make'; V 
set -x; \ 


apt-get update && apt-get install -y $buildDeps curl --no-install-recommends V 
&& rm -rf /var/lib/apt/lists/* N 
&& mkdir -p /usr/src/redis \ 
&& curl -sSL "$REDIS DOWNLOAD URL" -o redis.tar.gz V 
&& echo "SREDIS DOWNLOAD SHA1 *redis.tar.gz" | shalsum -c - \ 
&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components-1l V 
&& rm redis.tar.gz VN 
&& make -C /usr/src/redis \ 
&& make -C /usr/src/redis install \ 
&& rm -r /usr/src/redis \ 
&& apt-get purge -y $buildDeps curl \ 
&& apt-get autoremove -y 
RUN mkdir /data && chown redis:redis /data 
VOLUME /data 
WORKDIR /data 
USER redis 
EXPOSE 6379 
CMD [ "redis-server" ] 


最 新 2.8 版 本 


FROM debian:wheezy 
# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added 
RUN groupadd -r redis && useradd -r -g redis redis 
ENV REDIS VERSION 2.8.13 
ENV REDIS DOWNLOAD URL http://download.redis.io/releases/redis-2.8.13.tar.gz 
ENV REDIS DOWNLOAD SHA1 a72925a35849eb2d38a1ea076a3db82072d4ee43 
RUN buildDeps-'gcc libcó6-dev make'; V 
set -x; N 
apt-get update && apt-get install -y $buildDeps curl --no-install-recommends V 
&& rm -rf /var/lib/apt/lists/* N 
&& mkdir -p /usr/src/redis \ 
&& curl -sSL "SREDIS DOWNLOAD URL" -o redis.tar.gz V 
&& echo "SREDIS DOWNLOAD SHA1 *redis.tar.gz" | shalsum -c - \ 
&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components-l V 
&& rm redis.tar.gz VN 
&& make -C /usr/src/redis N 
&& make -C /usr/src/redis install \ 
&& rm -r /usr/src/redis \ 
&& apt-get purge -y $buildDeps curl \ 
&& apt-get autoremove -y 
RUN mkdir /data && chown redis:redis /data 
VOLUME /data 
WORKDIR /data 
USER redis 
EXPOSE 6379 
CMD [ "redis-server" ] 


B.6 Nginx 
基本 信息 

Nginx 是 开源 的 高 效 的 Web 服 务 器 实现 ， 支 持 HTTP、HTTPS、SMTP、POP3、IMAP 等 协议 。 该 仓库 提供 了 Nginx1.0~1.7 各 个 版 本 的 镜像 。 
使 用 方法 


下 面 的 命令 将 作为 一 个 静态 页 面 服务 器 启动 : 


$ sudo docker run --name some-nginx -v /some/content:/usr/share/nginx/html:ro -d nginx 


用 户 也 可 以 不 使 用 这 种 映射 方式 ， 通 过 利用 Dockerfile 来 直接 将 静态 页 面 内 容 放 到 镜像 中 ， 内 容 为 : 


FROM nginx 
COPY static-html-directory /usr/share/nginx/html 


之 后 生成 新 的 镜像 ， 并 启动 一 个 容器 : 


$ sudo docker build -t some-content-nginx . 
$ sudo docker run --name some-nginx -d some-content-nginx 


开放 端口 ， 并 映射 到 本 地 的 8080 端 


sudo docker run --name some-nginx -d -p 8080:80 some-content-nginx 


Nginx 的 默认 配置 文件 路 径 为 /etc/nginx/nginx.conf， 可 以 通过 映射 它 来 使 用 本 地 的 配置 文件 ， 例 如 : 


docker run --name some-nginx -v /some/nginx.conf:/etc/nginx/nginx.conf:ro -d nginx 


使 用 配置 文件 时 ， 为 了 在 容器 中 正常 运行 ， 需 要 保持 daemon off; 。 


Dockerfile 


1~1.7 版 本 


FROM debian:wheezy 

MAINTAINER NGINX Docker Maintainers "docker-maint8nginx.com" 

RUN apt-key adv --keyserver pgp.mit.edu --recv-keys 573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62 
RUN echo "deb http://nginx.org/packages/mainline/debian/ wheezy nginx" >> /etc/apt/sources.list 
ENV NGINX VERSION 1.7.5-1-wheezy 

RUN apt-get update && apt-get install -y nginx=${NGINX VERSION} 

# forward request and error logs to docker log collector 

RUN 1n -sf /dev/stdout /var/log/nginx/access.log 

RUN 1n -sf /dev/stderr /var/log/nginx/error.log 

# be backwards compatible with pre-official images 

RUN In -sf http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/../share/nginx /usr/local/nginx 
VOLUME ["/usr/share/nginx/html"] 

VOLUME ["/etc/nginx"] 

EXPOSE 80 443 

CMD ["nginx", "-g", "daemon off;"] 


B.7 WordPress 


基本 信息 


WordPress 是 开源 的 Blog 和 内 容 管理 系统 框架 ， 它 基于 PHP 和 MySQL。 该 仓库 提供 了 WordPress 4.0 版 本 的 镜像 。 


使 用 方法 


启动 容器 需要 MySQL 的 支持 ， 上 默认 端口 为 80: 


$ sudo docker run --name some-wordpress --link some-mysql:mysql -d wordpress 


启动 WordPress 容 器 时 可 以 指定 的 一 些 环境 参数 包括 : 


- -e WORDPRESS_DB_USER=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15029/OEBPS/Text/... 默 认为 “root” 


MYSQL_ROOT_PASSWORD 的 值 
- -e WORDPRESS_DB_NAME=http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15029/OEBPS/Text/... 默认 为 "wordpress" 


: -e WORDPRESS AUTH. KEY -http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach. ebook /uncompressed/15029 /OEBPS /Text/..., -€ 
WORDPRESS. SECURE, AUTH, KEY-http:/ /www.hzcoutse.com/resource/readBook?path- /openresources/teach. ebook /uncompressed/15029 /OEBPS /Text/..., -e 
WORDPRESS. LOGGED IN. KEY -http:/ /www.hzcourse.com/tresource/readBook?path- /openresources/teach ebook /uncompressed/15029 / OEBPS/Text/..., -e 
WORDPRESS. NONCE, KEY -http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach ebook /uncompressed/15029 / OEBPS/Text/..., -€ 
WORDPRESS. AUTH. SALT-http:/ /www.hzcoutse.com/resource/readBook?path- /openresources/teach. ebook /uncompressed/15029 /OBBPS/Text/..., -e 
WORDPRESS SECURE, AUTH, SALT-http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach. ebook /uncompressed/15029 /OEBPS /Text/..., -e 
WORDPRESS. LOGGED IN. SALT-http:/ /www.hzcoutse.com/resource/readBook?path— /openresources/teach. ebook /uncompressed/15029 /OEBPS /Text/..., -€ 


WORDPRESS. NONCE, SALT-http:/ /www.hzcourse.com/tesource/readBook?path- /openresources/teach. ebook/uncompressed/15029 /OEBPS/Text/... 默认 为 随机 shal P 


Dockerfile 


4.0 版 本 


FROM debian:wheezy 
RUN apt-get update && apt-get install -y \ 
apache2 \ 
curl V 
libapache2-mod-php5 N 
php5-curl \ 
php5-gd \ 
php5-mysql VN 
rsync N 
wget \ 
&& rm -rf /var/lib/apt/lists/* 
RUN a2enmod rewrite 
# copy a few things from apache's init script that it requires to be setup 
ENV APACHE CONFDIR /etc/apache2 
ENV APACHE ENVVARS $APACHE CONFDIR/envvars 
* and then a few more from $APACHE CONFDIR/envvars itself 
ENV APACHE RUN USER www-data 
ENV APACHE RUN GROUP www-data 
ENV APACHE RUN DIR /var/run/apache2 
ENV APACHE PID FILE $APACHE RUN DIR/apache2.pid 
ENV APACHE LOCK DIR /var/lock/apache2 
ENV APACHE LOG DIR /var/log/apache2 
ENV LANGC —— 
RUN mkdir -p $APACHE RUN DIR S$APACHE LOCK DIR $APACHE LOG DIR 
# make CustomLog (access log) go to stdout instead of files 
# and ErrorLog to stderr 
RUN find "SAPACHE CONFDIR" -type f -exec sed -ri ' \ 
s!^(\s*CustomLog) \s+\S+!\1 /proc/self/fd/1!g; \ 
s!^(\s*ErrorLog) \s+\S+!\1 /proc/self/fd/2!g; N 
oap orp 
RUN rm -rf /var/www/html && mkdir /var/www/html 
VOLUME /var/www/html 
WORKDIR /var/www/html 
ENV WORDPRESS VERSION 4.0.0 
ENV WORDPRESS UPSTREAM VERSION 4.0 
# upstream tarballs include ./wordpress/ so this gives us /usr/src/wordpress 
RUN curl -SL http://wordpress.org/wordpress-$(WORDPRESS UPSTREAM VERSION).tar.gz | tar -xzC /usr/src/ 
COPY docker-apache.conf /etc/apache2/sites-available/wordpress 
RUN a2dissite 000-default && a2ensite wordpress 
COPY docker-entrypoint.sh /entrypoint.sh 
ENTRYPOINT ["/entrypoint.sh"] 
EXPOSE 80 
CMD ["apache2", "-DFOREGROUND"] 


B.8 Node.js 


基本 信息 


Nodejs 是 基于 Javascript 的 可 扩展 服务 端 和 网 络 软件 开发 平台 。 该 仓库 提供 了 Node.js0.8~0.11 各 个 版 本 的 镜像 。 


使 用 方法 


在 项 目 中 创建 一 个 Dockerfile: 


FROM node:0.10-onbuild 
# replace this with your application's default port 
EXPOSE 8888 


然后 创建 镜像 ， 并 启动 容器 : 


$ sudo docker build -t my-nodejs-app 
$ sudo docker run -it --rm --name my-running-app my-nodejs-app 


$ sudo docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp node:0.10 node your-daemon-or-script.js 


Dockerfile 


0.8 版 本 


FROM buildpack-deps 
RUN apt-get update && apt-get install -y \ 
ca-certificates V 
curl 
# verify gpg and sha256: http://nodejs.org/dist/v0.10.30/SHASUMS256.txt.asc 
# gpg: aka "Timothy J Fontaine (Work) «tj.fontaine8joyent.com»" 
RUN gpg --keyserver pgp.mit.edu --recv-keys 7937DFD2AB06298B2293C3187D33FF9D0246406D 
ENV NODE VERSION 0.8.28 
RUN curl -SLO "http://nodejs.org/dist/v$NODE VERSION/node-v$NODE VERSION-linux-x64.tar.gz" \ 
&& curl -SLO "http://nodejs.org/dist/v$NODE VERSION/SHASUMS256.txt.asc" \ 
&& gpg --verify SHASUMS256.txt.asc \ 
&& grep " node-v$NODE VERSION-linux-x64.tar.gzWM$" SHASUMS256.txt.asc | 
sha256sum -c - V Hu 
&& tar -xzf "node-v$NODE VERSION-linux-x64.tar.gz" -C /usr/local --strip- 
components-l V 
&& rm "node-v$NODE VERSION-linux-x64.tar.gz" SHASUMS256.txt.asc 
CMD [ "node" ] 


0.10 版 本 


FROM buildpack-deps 
RUN apt-get update && apt-get install -y V 
ca-certificates V 
curl 
# verify gpg and sha256: http://nodejs.org/dist/v0.10.31/SHASUMS256.txt.asc 
# gpg: aka "Timothy J Fontaine (Work) «tj.fontaine8joyent.com»" 
RUN gpg --keyserver pgp.mit.edu --recv-keys 7937DFD2AB06298B2293C3187D33FF9D0246406D 
ENV NODE VERSION 0.10.32 
RUN curl -SLO "http://nodejs.org/dist/v$NODE VERSION/node-v$NODE VERSION-linux-x64.tar.gz" \ 
&& curl -SLO "http://nodejs.org/dist/v$NODE VERSION/SHASUMS256.txt.asc" \ 
&& gpg --verify SHASUMS256.txt.asc VN 
&& grep " node-v$NODE VERSION-linux-x64.tar.gzWM$" SHASUMS256.txt.asc | 
sha256sum -c - \ H 
&& tar -xzf "node-v$NODE VERSION-linux-x64.tar.gz" -C /usr/local --strip- 
components-l V 
&& rm "node-v$NODE VERSION-linux-x64.tar.gz" SHASUMS256.txt.asc 
CMD [ "node" ] 


0.11 版 本 


FROM buildpack-deps 
RUN apt-get update && apt-get install -y V 
ca-certificates V 
curl 
# verify gpg and sha256: http://nodejs.org/dist/v0.10.30/SHASUMS256.txt.asc 
# gpg: aka "Timothy J Fontaine (Work) «tj.fontaine8joyent.com»" 
RUN gpg --keyserver pgp.mit.edu --recv-keys 7937DFD2AB06298B2293C3187D33FF9D0246406D 
ENV NODE VERSION 0.11.13 
RUN curl -SLO "http://nodejs.org/dist/v$NODE VERSION/node-v$NODE VERSION-linux-x64.tar.gz" VN 
&& curl -SLO "http://nodejs.org/dist/v$NODE VERSION/SHASUMS256.txt.asc" \ 
&& gpg --verify SHASUMS256.txt.asc VN 
&& grep " node-v$NODE VERSION-linux-x64.tar.gzM$" SHASUMS256.txt.asc | 
sha256sum -c - V 
&& tar -xzf "node-v$NODE VERSION-linux-x64.tar.gz" -C /usr/local --strip- 
components-1 VN 
&& rm "node-v$NODE VERSION-linux-x64.tar.gz" SHASUMS256.txt.asc 
CMD [ "node" ] 


附录 C ”Docker 命 令 查询 


以 Docker 1.30 版 本 为 例 。 


C.1 ENE 


docker [OPTIONS] COMMAND [arghttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15029/OEBPS/Text/...] 


一 般 来 阅 ，Docker 命 令 可 以 用 来 管理 daemon， 或 者 通过 CLI 命 令 管 理 镜 像 和 容器 。 可 以 通过 man docker 来 查看 这 些 命令 。 


C2 选项 


-D=true| false 
使 用 debug 模 式 。 默 认为 false。 
-H, —-host-[unix:///var/run/docker.sock], tcp://[host:port] 
在 daemon 模 式 下 绑 定 的 socket， 通 过 一 个 或 多 个 cp://host:Port，unix:///path/to/ 
socket, fd://* or fd://socketfd 来 指定 。 
--api-enable-cors=true | false 
在 远 端 API 中 启用 CORS 头 。 默 认为 false。 
-pe"n 
将 容器 挂 载 到 一 个 已 存在 的 网 桥 上 。 指 定 为 'none' 时 则 禁用 容器 的 网 络 。 


让 动态 创建 的 docker0 采 用 给 定 的 CTDR 地 址 ;与 -b 选 项 互 斥 。 
-d-true|false 
使 用 daemon 模 式 。 默 认为 false。 


让 pocker 使 用 给 定 的 DNs 服 务 器 。 
-— 


~ 


指定 Docker 运 行 时 的 root 路 径 。 默 认为 /var/1ib/docker。 
--icc-true|false 


Riu 容器 间 通 信 


Pe IR HABRA pH. 默认 为 0.0.0.0。 
--iptables-true|false 
禁止 Docker 添 加 iptables 规 则 。 默 认为 true。 
—-mtu-VALUE 
指定 容器 网 络 的 mtu。 默 认为 1500。 
Je dace DA ARM ERA /var/run/docker.pid. 
--registry-mirror-: 
指定 一 SER OR BU MEN 
-s="" 
强制 Docker 运 行 时 使 用 给 定 的 存储 驱动 。 
-v-true|false 
输出 版 本 信息 并 退出 。 默 认 值 为 false。 
--selinux-enabled-true|false 


启用 SELinux 支 持 。 默 认 值 为 false。SELinux 目 前 不 支持 BTRFS 存 储 驱 动 。 


认为 true。 


C3 命令 


Docker 的 命令 可 以 采用 docker-CMD 或 者 docker CMD 的 方式 执行 ， 两 者 一 致 。 


docker-attach (1) 

依附 到 一 个 正在 运行 的 容器 中 。 
docker-build (1) 

从 一 个 Dockerfile 创 建 一 个 镜像 。 
docker-commit (1) 

从 一 T E 修改 中 创 建 一 个 新 的 镜像 。 
docker-create (1) 

创建 一 个 新 容器 ， 但 并 不 运行 它 。 
docker-cp (1) 

从 容器 中 复制 文件 到 宿主 系统 中 。 
docker-diff (1) 

检查 一 个 容器 文件 系统 的 修改 。 
docker-events (1) 

从 服务 端 获 取 实 时 的 事件 。 
docker-exec (1) 

在 运行 的 容器 内 执行 命令 。 
docker-export (1) 

导出 容器 内 容 为 一 个 tar 包 。 
docker-histor 

pr T PN 
docker-images (1) 

列 出 存在 的 镜像 。 
docker pos (1) 

一 个 文 作 《两 弄 为 tar 包 ) 路 径 或 目录 来 创建 一 个 镜像 。 

dedu (1) 

显示 一 些 相关 的 系统 信息 。 
docker-inspect (1) 

显示 一 个 容器 的 底层 具体 信息 。 
docker-kill(1) 

关闭 一 个 运行 中 的 容器 (包括 进程 和 所 有 相关 资源 ) 。 
dee (1) 

一 个 tar 包 中 加 载 一 个 镜像 。 

ea (1) 

SOC SER 个 Docker 的 仓库 服务 器 。 
docker-logout (1) 

从 Docker 的 仓库 服务 器 登 
docker-logs (1) 

获取 容器 的 1og 信 息 
docker-pause (1) 

SUE CH RD p MERERI. 
docker-port (1) 

查找 一 个 nat 到 一 个 私有 网 口 的 公共 口 。 
docker-ps (1) 

列 出 容器 。 
docker-pull (1) 

从 一 个 Docker 的 仓库 服务 器 下 拉 一 个 镜像 或 仓库 。 
docker-push (1) 

将 一 不 广 像 六 者 仓库 推送 到 一 个 Dockez 的 注册 服务 器 。 
docker-restart (1) 
重启 一 个 运行 中 的 容器 。 
docker-rm(1) 
vais 干 个 容器 。 
docker-rmi( 
RARA 干 个 镜像 。 
docker-run (1) 

创建 一 Tine. 并 在 其 中 运行 给 定 命令 。 
docker-save (1 

保存 一 不 代为 car 包 文件 。 
docker-search (1) 

fEDocker index 中 搜索 一 个 镜像 。 
docker-start (1) 

启动 一 个 容器 。 
docker-stop (1) 

终止 一 个 运行 中 的 容器 。 
docker-ta 

为 -个 Ties. 
docker-top (1 

查看 一 全 关中 的 下 在 运行 浊 和信 

docker-unpause (1 

将 一 ad 恢复 。 
docker-version( 

fi Dockez BA 
docker-wait (1) 

阻塞 直到 一 个 容器 终止 ， 然 后 输出 它 的 退出 符 。 


C4 一 张 图 总 结 Docker 的 命令 


Container 


restart start 


kill 


start 
unpause 


pause 


Registry 


C4 Docket 命 令 


附录 D ”Docker 资 源 链接 


Docker 官 方 主页 : https://www.docker.io 
Docker 注 册 中 心 APl: http://docs.docker.com/reference/api/registry api/ 


Docker Hub API: http://docs.docker.com/reference/api/docker-io api/ 


Docker 远 端 应 用 API: http://docs.docker.com/reference/api/docker remote api/ 


Dockerfile 参 考 : https://docs.docker.com/reference/builder/ 


Dockerfile 最 佳 实践 : https://docs.docker.com/articles/dockerfile_ best-practices/ 
Docker Hub: http://hub.docker.com 

Docker 官 方 博客 : http://blog.docker.com/ 

Docker 官 方 文档 : http://docs.docker.com/ 

Docker 官 方 入 门 指南 : http://www.docker.com/tryit/ 


Docker 的 Github 源 代码 : https://github.com/docker/docker 


Docker Forge (收集 了 各 种 Docker 工 具 、 组 件 和 服务 ) : https://github.com/dockerforge 
Docker 邮 件 列表 : https://groups.google.com/forum/#!forum/docker-user 


Docker 的 IRC 频 道 : irc.freenode.net 


Docker 的 Twitter 主 页 : http://twitter.com/docker 


Docker 的 StackOverflow 问 答 主页 : http://stackoverflow.com/search?q=docker 


